Cette campagne de phishing AnyDesk fournit un voleur d'informations Vidar

Certains articles de veille peuvent faire l'objet de traduction automatique.

Attention, utilisateurs d’AnyDesk ! Une énorme campagne de phishing impliquant plus de 1300 domaines fournit un voleur d’informations Vidar en imitant AnyDesk. Les utilisateurs doivent toujours s’assurer de télécharger AnyDesk, ou tout autre logiciel, à partir des sites Web officiels et légitimes pour éviter de telles menaces.

La campagne de phishing d’AnyDesk pousse Vidar Info Stealer

Le chercheur en sécurité et analyste des menaces chez SEKOIA.IO, ayant un alias crep1x sur Twitter, a récemment partagé des détails sur une campagne de phishing en cours exploitant AnyDesk.

Comme décrit, les attaquants derrière cette campagne ont mis en place plus de 1300 domaines qui redirigent les utilisateurs vers un faux site Web imitant la mise en page du site d’AnyDesk pour tromper les utilisateurs. De cette façon, les acteurs de la menace visent à livrer le voleur d’informations Vidar aux victimes potentielles.

Vidar est un puissant cheval de Troie voleur de données qui a fait la une des journaux en 2018. Il atteint généralement les appareils cibles via la publicité malveillante et s’installe sournoisement sur l’appareil pour voler des informations sensibles, principalement des mots de passe enregistrés.

À ce jour, Vidar a été impliqué dans de nombreuses campagnes de spam et de phishing, ciblant les victimes dans le monde entier.

Selon crep1x, il a récemment repéré plus de 1300 domaines délivrant Vidar en se faisant passer pour de faux installateurs AnyDesk. Les attaquants ont stocké le malware sur un lien Dropbox vers lequel tous les domaines redirigent les utilisateurs. De plus, tous les domaines se résolvent sur la même adresse IP.

Plus de 1300 domaines hébergent une page Web qui se fait passer pour le site Web officiel d’AnyDesk.

Toutes les pages Web redirigent l’utilisateur vers le même lien Dropbox, en téléchargeant #Vidar voleur (botnet 586).

Tous les domaines résolvent l’adresse IP 185.149.120[.]9

(une campagne plutôt curieuse !) pic.twitter.com/vqbw34USwx

— crep1x (@crep1x) 8 janvier 2023

Pour éviter tout soupçon, les attaquants ont également utilisé des noms typosquattés pour d’autres logiciels populaires tels que Slack, TeamViewer et VideoLAN. Mais tous les domaines renvoient à la même page Web qui se fait passer pour AnyDesk.

Le typosquatting de divers logiciels est utilisé pour les noms de domaine, y compris 7zip, AnyDesk, Slack, TeamViewer, VideoLAN – mais tous les domaines affichent le site Web AnyDesk

L’auteur de la menace semble réutiliser les domaines d’autres campagnes. Aucune idée de la distribution de ces pages Web

Domaines ⬇️

— crep1x (@crep1x) 8 janvier 2023

Selon les réponses partagées sur le fil Twitter du chercheur, certains domaines malveillants sont hébergés sur NameCheap. Lorsqu’il a été alerté, NameCheap a répondu « prenez-en soin », alors que les autres domaines hébergés sur DigitalOcean n’ont pas encore été supprimés.

Ce n’est pas la première campagne de phishing exploitant AnyDesk. En octobre 2022, Chercheurs de Cybel a également signalé une campagne malveillante utilisant des sites de phishing AnyDesk pour diffuser des logiciels malveillants Mitsu.

Faites-nous part de vos réflexions dans les commentaires.