Resmi AnyDesk sitesinin kimliğine bürünmek için 1.300’den fazla alan adının kullanıldığı devasa bir kampanya sürüyor ve tümü yakın zamanda Vidar bilgi çalan kötü amaçlı yazılımı bir Dropbox klasörüne yönlendiriyor.
AnyDesk, güvenli uzaktan bağlantı veya sistem yönetimi gerçekleştirmek için dünya çapında milyonlarca kişi tarafından kullanılan Windows, Linux ve macOS için popüler bir uzak masaüstü uygulamasıdır.
Aracın popülaritesi nedeniyle, kötü amaçlı yazılım dağıtım kampanyaları genellikle AnyDesk markasını kötüye kullanır. Örneğin, Ekim 2022’de Cyble, Mitsu Stealer operatörlerinin yeni kötü amaçlı yazılımlarını yaymak için bir AnyDesk kimlik avı sitesi kullandıklarını bildirdi.
Devam eden yeni AnyDesk kampanyası SEKOIA tehdit analisti tarafından tespit edildi krep1xTwitter’da bu konuda uyarıda bulunan ve kötü amaçlı ana bilgisayar adlarının tam listesini paylaşan. Tüm bu ana bilgisayar adları, 185.149.120 ile aynı IP adresine çözümlenir.[.]9.
Ana bilgisayar adlarının listesi, AnyDesk, MSI Afterburner, 7-ZIP, Blender, Dashlane, Slack, VLC, OBS, kripto para ticareti uygulamaları ve diğer popüler yazılımlar için yazım hatalarını içerir.
Ancak, adı ne olursa olsun, hepsi aşağıda gösterilen aynı AnyDesk klon sitesine yönlendirir.
Bunu yazarken, çoğu alan adı hala çevrimiçiyken, diğerleri kayıt şirketleri tarafından rapor edildi ve çevrimdışı duruma getirildi veya AV araçları tarafından engellendi. Açık olan siteler için bile, kötü amaçlı dosya bulut depolama hizmetine bildirildikten sonra Dropbox bağlantıları artık çalışmaz.
Ancak, bu kampanyanın tümü aynı siteye işaret ettiğinden, tehdit aktörü indirme URL’sini başka bir siteye güncelleyerek bunu kolayca düzeltebilir.
Tüm siteler Vidar Stealer’a yönlendiriyor
Yeni keşfedilen kampanyada siteler ‘AnyDeskDownload.zip’ isimli bir ZIP dosyası dağıtıyordu. [VirusTotal] AnyDesk yazılımı için bir yükleyici gibi görünen.
Ancak, uzaktan erişim yazılımını yüklemek yerine, 2018’den beri dolaşımda olan bilgi çalan bir kötü amaçlı yazılım olan Vidar hırsızını yükler.
Kötü amaçlı yazılım yüklendiğinde, kurbanların tarayıcı geçmişini, hesap kimlik bilgilerini, kayıtlı şifreleri, kripto para cüzdan verilerini, bankacılık bilgilerini ve diğer hassas verileri çalacak. Bu veriler daha sonra, daha fazla kötü amaçlı etkinlik için kullanabilecek veya diğer tehdit aktörlerine satabilecek saldırganlara geri gönderilir.
Kullanıcılar genellikle yazılım ve oyunların korsan sürümlerini Google’da aradıktan sonra bu sitelere gelir. Daha sonra, onları kötü amaçlı yükleri teslim eden 20 etki alanının son hedefine yönlendiren 108 ikinci aşama etki alanına yönlendirilirler.
En son Vidar kampanyası, kötü amaçlı yazılım yükünü algılama ve yayından kaldırma işlemlerinden kaçınmak için yeniden yönlendirmelerin arkasına saklamak yerine, yükü teslim etmek için AV araçlarının güvendiği Dropbox dosya barındırma hizmetini kullandı.
BleepingComputer kısa bir süre önce Vidar’ın 27 yazılım markasını taklit eden 200’ün üzerinde yazım hatası yapan etki alanına dayanan bir kampanya tarafından zorlandığını gördü.
Birkaç gün önce SEKOIA, crackli yazılımları tanıtan 128 web sitesini kullanan başka bir büyük bilgi hırsızı dağıtım kampanyasını ortaya çıkaran bir rapor yayınladı.
Tüm bu kötü amaçlı yazılım kampanyalarının sahte AnyDesk siteleriyle ilgili olup olmadığı net değil.
Kullanıcılara, yazılım indirmek için kullandıkları sitelere yer işareti koymaları, Google Arama’da tanıtılan sonuçlara (reklamlar) tıklamaktan kaçınmaları ve bir yazılım projesinin resmi URL’sini Wikipedia sayfalarından, belgelerden veya işletim sisteminizin paket yöneticisinden bulmaları önerilir.