Una importante campaña de suplantación tiene como objetivo distribuir el ladrón de información de Vidar a tantos puntos finales como sea posible.
El investigador de ciberseguridad de SEKOIA, bajo el nombre de crep1x, descubrió la campaña y dio la voz de alarma en Twitter. En una breve amenaza de Twitter, el investigador dijo que descubrió más de 1300 dominios, todos los cuales se hacen pasar por las principales marcas de software para impulsar el malware. (se abre en una pestaña nueva).
Las marcas suplantadas en esta campaña incluyen AnyDesk, MSI Afterburner, 7-ZIP, Blender, Dashlane, Slack, VLC, OBS y aplicaciones de comercio de criptomonedas, por nombrar algunas. Todas estas marcas suplantadas conducen al mismo sitio web, un clon de AnyDesk.
Robo de contraseñas y criptomonedas
Para los no iniciados, AnyDesk es una aplicación de escritorio remoto que brinda a los usuarios acceso remoto a computadoras personales y les permite transferir archivos y usarse como una VPN.
Las víctimas que naveguen a estos sitios e intenten descargar la aplicación serán redirigidos a una carpeta de Dropbox que aloja el ladrón de información de Vidar. Una variante del ladrón de información Arkei, Vidar es capaz de robar tarjetas de crédito, credenciales de inicio de sesión, archivos y capturas de pantalla. También es capaz de robar criptomonedas, como bitcoin o ether, de las billeteras calientes (billeteras de software) de la víctima.
Según BleepingComputer, que informó sobre los hallazgos de crep1x a principios de esta semana, la campaña aún está activa y muchos de los dominios con errores tipográficos todavía están activos. Algunos han sido cerrados mientras tanto. Dropbox también fue notificado del abuso de sus servicios para distribuir malware y, mientras tanto, eliminó el enlace.
Sin embargo, dado que todos los sitios maliciosos apuntan al mismo lugar, los actores de amenazas pueden persistir fácilmente simplemente actualizando la URL de descarga.
La mejor manera de protegerse contra tales ataques es tener mucho cuidado al descargar software y asegurarse de que las aplicaciones solo se obtengan de fuentes verificadas. Dicho esto, navegar al sitio web de AnyDesk (en lugar de hacer clic en un supuesto enlace de AnyDesk en un correo electrónico o una publicación en las redes sociales) es un buen lugar para comenzar.
Vía: BleepingComputer (se abre en una pestaña nueva)