Mengejutkan! Ribuan domain menyamar website AnyDesk ditemukan beredar luas di dunia maya, mengancam jutaan penggunanya di seluruh dunia.
Operasi besar-besaran menggunakan lebih dari 1.300 domain untuk menyamar sebagai situs resmi AnyDesk sedang berlangsung, semuanya dialihkan ke folder Dropbox baru-baru ini mendorong malware pencuri informasi Vidar.
AnyDesk adalah aplikasi desktop jarak jauh yang populer untuk Windows, Linux, dan macOS, yang digunakan oleh jutaan orang di seluruh dunia untuk konektivitas jarak jauh yang aman atau melakukan administrasi sistem.
Baca juga: Phising Banding Facebook |
Situs Phising AnyDesk
Karena popularitas alat tersebut, operasi distribusi malware sering menyalahgunakan merek AnyDesk. Misalnya, pada Oktober 2022, dilaporkan bahwa operator Mitsu Stealer menggunakan situs phising AnyDesk untuk menyebarkan malware baru mereka.
Operasi AnyDesk baru yang sedang berlangsung ditemukan oleh analis yang memperingatkan ancaman ini di Twitter dan membagikan daftar lengkap nama host berbahaya. Semua nama host ini mengarah ke alamat IP yang sama yaitu 185.149.120[.]9.
Daftar nama host mencakup kesalahan ketik untuk AnyDesk, MSI Afterburner, 7-ZIP, Blender, Dashlane, Slack, VLC, OBS, aplikasi perdagangan mata uang kripto, dan perangkat lunak populer lainnya. Namun, terlepas dari namanya, semuanya mengarah ke situs klon AnyDesk yang sama.
Baca juga: Langkah Pemulihan Serangan Phising |
Domain Masih Aktif
Pada saat penulisan ini, ribuan domain menyamar website AnyDesk ini sebagian besar domain masih online, sementara yang lain telah dilaporkan dan dibuat offline oleh pendaftar atau diblokir oleh AV.
Bahkan untuk situs yang aktif, tautan Dropbox mereka tidak lagi berfungsi setelah file berbahaya dilaporkan ke layanan penyimpanan cloud.
Namun, karena semua operasi ini mengarah ke situs yang sama, pelaku ancaman dapat dengan mudah memperbaikinya dengan memperbarui URL unduhan ke situs lain.
Semua situs mengarah ke Vidar Stealer
Dalam kampanye yang baru ditemukan, situs tersebut mendistribusikan file ZIP bernama ‘AnyDeskDownload.zip’ [VirusTotal] yang berpura-pura menjadi penginstal perangkat lunak AnyDesk.
Namun, alih-alih menginstal perangkat lunak akses jarak jauh, ia justru menginstal Vidar stealer, malware pencuri informasi yang beredar sejak 2018.
Saat dipasang, malware akan mencuri riwayat browser, kredensial, kata sandi yang disimpan, data dompet cryptocurrency, informasi perbankan, dan data sensitif lainnya.
Data ini kemudian dikirim kembali ke pelaku, yang dapat digunakannya untuk aktivitas jahat lebih lanjut atau menjualnya ke pelaku ancaman lainnya.
Namun, pengembang malware menggunakan banyak trik ketimbang hanya menyembunyikan muatan malware di balik pengalihan untuk menghindari deteksi dan uninstal,
Operasi Vidar baru-baru ini menggunakan layanan hosting file Dropbox yang dianggap legitimate oleh AV untuk mengirimkan muatan.
Baru-baru ini diketahui Vidar didorong oleh operasi yang mengandalkan lebih dari 200 domain pengetikan yang meniru 27 merek perangkat lunak.
Penyalahgunaan Google Ads
Operasi lain yang mendorong Vidar melalui penyalahgunaan Google Ads ditemukan pada akhir Desember 2022, yang juga menyalahgunakan merek AnyDesk.
Sementara beberapa hari yang lalu, diketahui terjadi distribusi pencuri info besar-besaran menggunakan 128 situs web yang mempromosikan perangkat lunak crack.
Pengguna biasanya berakhir di situs ini setelah menelusuri Google untuk perangkat lunak dan game versi bajakan.
Mereka kemudian diarahkan ke 108 domain tahap kedua yang mengarahkan mereka ke tujuan akhir dari 20 domain yang mengirimkan muatan berbahaya. Namun tidak ada tumpang tindih antara kedua kampanye tersebut.
Pengguna disarankan untuk menandai situs yang mereka gunakan untuk mengunduh perangkat lunak, menghindari mengeklik hasil yang dipromosikan (iklan) di Google Penelusuran, dan menemukan URL resmi proyek perangkat lunak dari halaman Wikipedia, dokumentasi, atau pengelola paket OS Anda.
Baca lainnya: |
Sumber berita: