È stata scoperta un’ondata di attacchi phishing che, utilizzando più di 1.300 domini dannosi per clonare il sito Web del software di connessione desktop remoto AnyDesk, inducono le vittime a scaricare un file di download malevolo contenente il noto infostealer Vidar. L’obiettivo dei criminal hacker è, dunque, quello di rubare informazioni agli ignari utenti caduti nella trappola.
Indice degli argomenti
Siti Web di phishing veicolano lo stealer Vidar
Ne ha dato notizia per la prima volta su Twitter crep1x, ricercatore del fornitore di sicurezza SEKOIA, che ha sottolineato come tutti questi domini falsi si risolvono nell’unico indirizzo IP 185.149.120[.]9. Gli utenti che si sono collegati accidentalmente sono stati indirizzati allo stesso link Dropbox per scaricare Vidar, un popolare malware di tipo stealer.
In questa nuova campagna, i siti Web dannosi hanno diffuso un file ZIP denominato appunto “AnyDeskDownload.zip”, nel tentativo di far apparire legittima l’installazione che, inevitabilmente sarebbe terminata in una compromissione del dispositivo vittima.
1300+ domains are hosting a webpage that impersonates the official AnyDesk website.
All webpages redirect the user to the same Dropbox link, downloading #Vidar stealer (botnet 586).
All domains resolve the IP address 185.149.120[.]9
(a rather curious campaign!) pic.twitter.com/vqbw34USwx
— crep1x (@crep1x) January 8, 2023
I ricercatori hanno anche rilasciato l’elenco degli host in più di mille domini, molti dei quali sfruttano deliberatamente refusi per impersonare i noti software come 7-Zip, Slack, AnyDesk e TeamViewer, ma dal punto di vista grafico sono tutti visualizzati come siti Web AnyDesk. Sembrano, infatti, che possano ricondursi a domini riutilizzati da altre precedenti campagne dannose.
Funzionalità note di Vidar
Ricercatori della società di sicurezza sudcoreana AhnLab hanno sottolineato come lo scopo principale di Vidar sia rubare informazioni, ma viene spesso utilizzato anche per diffondere ransomware. Gli aggressori spesso creano account monouso con i quali ospitano URL C&C (macchine virtuali di comando e controllo) su servizi noti o piattaforme social.
In altri casi distribuiscono il malware tramite macro di allegati di posta elettronica. Una volta che Vidar raccoglie informazioni sensibili sul computer dell’utente, comprimerà le informazioni in un file .Zip e lo invierà all’host C&C.
Crep1x ha sottolineato anche che la maggior parte degli host dannosi sono ancora operativi. Mentre invece al momento non è ancora noto come siano stati distribuiti gli URL verso i target e in quale dimensione.
Come difendersi dalla minaccia
Questa analisi porta con sé inevitabilmente anche la riflessione sulla ricerca online di software pirata. Spesso proprio questo viene sfruttato da attori criminali per la diffusione di virus e malware: i file del software pirata spesso contengono virus e malware che possono danneggiare il computer o rubare informazioni personali. Oltre che a minacce alla privacy: scaricando software pirata, l’utente potrebbe involontariamente condividere informazioni personali con gli sviluppatori malintenzionati.
Perciò è essenziale ricordare che per proteggersi da molti scenari di minacce come questa, bisogna sempre avere ben presente il dominio Web del fornitore dal quale scarichiamo qualsiasi contenuto.
Evitare di prestare attenzione a e-mail pubblicitarie con offerte particolarmente allettanti e link di scaricamento.
Recuperiamo il download sempre da risorse trovate manualmente in base alle nostre conoscenze.
