Resmi AnyDesk web sitesi, tümü bilgi çalan kötü amaçlı yazılım Vidar’ı dağıtan bir Dropbox klasörüne bağlanan 1.300’den fazla alan adı kullanılarak taklit ediliyor.
AnyDesk, dosya aktarımı, diğer bilgisayarlara uzaktan erişim ve diğer özellikleri sağlayan bir uzak masaüstü programıdır.
Cyble, Ekim 2022’de Mitsu Stealer operatörlerinin yeni kötü amaçlı yazılımlarını bir AnyDesk kimlik avı sitesi aracılığıyla yaydıklarını açıkladı.
Son AnyDesk kampanyası, bir uyarı tweet’i atan ve kampanyanın kötü amaçlı ana bilgisayar adlarının tam listesini sağlayan SEKOIA tehdit analisti crep1x tarafından keşfedildi. Bu ana bilgisayar adlarının tümü 185.149.120’ye götürür[.]9, aynı IP adresi.
Ana bilgisayar adlarının listesi, AnyDesk, MSI Afterburner, 7-ZIP, Blender, Dashlane, Slack, VLC, OBS, kripto para ticareti uygulamaları ve diğer popüler yazılımlar için yazım hatalarını içerir.
Raporlar, çoğu alanın hala etkin olduğunu, ancak bazılarının rapor edildiğini ve kayıt şirketleri tarafından çevrimdışına alındığını veya virüsten koruma yazılımı tarafından yasaklandığını belirtti.
Ayrıca, tehdit aktörü, indirme URL’sini başka bir siteye değiştirerek bunu kolayca çözebilir, ancak bu kampanyanın her öğesi aynı web sitesini işaret ettiğinden.
Vidar Bilgi Çalan Kötü Amaçlı Yazılım
Araştırmacılar, web sitelerinin “AnyDeskDownload.zip” adlı bir ZIP dosyası yaydığını söylüyor. [VirusTotal] AnyDesk yazılım yükleyicisi olduğu iddia edilen.
Ancak, uzaktan erişim yazılımının yerine 2018’den beri var olan bir kötü amaçlı yazılım olan Vidar hırsızı yüklenir.
Özellikle, kötü amaçlı yazılım kurbanların göz atma geçmişini, oturum açma bilgilerini, önceden kaydedilmiş şifreleri, kripto para cüzdan verilerini, banka bilgilerini ve diğer özel bilgileri alacak.
Saldırganlara geri verildikten sonra bu bilgiler başka kötü amaçlar için kullanılabilir veya diğer tehdit aktörlerine satılabilir.
En son Vidar kampanyası, kötü amaçlı yazılım yükünü tespit ve yayından kaldırmalardan kaçınmak için yeniden yönlendirmelerin arkasına gizlemek yerine AV araçlarının güvendiği Dropbox dosya barındırma hizmeti aracılığıyla teslim etti.
Bu nedenle, kullanıcılar Google Arama’da sponsorlu reklamlara tıklamaktan kaçınmalı, yazılım indirmek için ziyaret ettikleri web sitelerine yer işareti koymalı ve bir yazılım projesinin resmi URL’sini Wikipedia sayfasından, belgelerinden veya işletim sisteminizin paket yöneticisinden almalıdır.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin