Duża kampania podszywania się pod użytkownika ma na celu dystrybucję infostealera Vidar do jak największej liczby komputerów końcowych.
Badacz cyberbezpieczeństwa z instytutu SEKOIA, działający pod nazwą crep1x, odkrył kampanię i podniósł alarm na Twitterze. W krótkiej wiadomości na Twitterze badacz powiedział, że odkrył ponad 1300 domen, z których wszystkie podszywają się pod główne marki oprogramowania w celu rozpowszechniania złośliwego oprogramowania.
Marki podszyte w tej kampanii obejmują AnyDesk, MSI Afterburner, 7-ZIP, Blender, Dashlane, Slack, VLC, OBS i aplikacje do handlu kryptowalutami, aby wymienić tylko kilka. Wszystkie te podszyte marki prowadzą do tej samej strony internetowej, klonu AnyDesk.
Dla niewtajemniczonych, AnyDesk jest aplikacją zdalnego pulpitu, która daje użytkownikom zdalny dostęp do komputerów osobistych i pozwala im przesyłać pliki oraz być używanym jako VPN. Ofiary, które nawigują do tych stron i próbują pobrać aplikację, byłyby przekierowywane do folderu Dropbox hostującego infostealera Vidar. Wariant infostealera Arkei, Vidar jest zdolny do kradzieży kart kredytowych, danych uwierzytelniających logowanie, plików i chwytania zrzutów ekranu. Jest również w stanie kraść kryptowaluty, takie jak bitcoin lub eter, z portfeli software’owych ofiar.
Według BleepingComputer, który poinformował o odkryciach crep1x na początku tego tygodnia, kampania jest nadal aktywna, a wiele z domen z literówkami np. MSl Afterburner (gdzie litera “I” w nazwie zamieniona jest na małą literę “L” MSI–>MSl) jest nadal aktywnych. Niektóre z nich zostały w międzyczasie wyłączone. Dropbox został również powiadomiony o tym, że jego usługi są nadużywane do dystrybucji złośliwego oprogramowania i w międzyczasie zablokował łącze. Jednak biorąc pod uwagę, że wszystkie złośliwe strony wskazują na to samo miejsce, aktorzy zagrożeń mogą łatwo się utrzymać, po prostu aktualizując adres URL pobierania.
Najlepszym sposobem ochrony przed takimi atakami jest zachowanie szczególnej ostrożności podczas pobierania oprogramowania i upewnienie się, że aplikacje są pozyskiwane tylko ze sprawdzonych źródeł.
