Cyberthreat.id – Analis ancaman dari SEKOIA crep1x, menemukan kampanye malware pencuri informasi (stealer) yang menggunakan lebih dari 1.300 domain untuk menyamar sebagai situs resmi AnyDesk, yang dilihkan ke folder Dropbox baru-baru ini mendorong malware pencuri informasi Vidar.

AnyDesk adalah aplikasi desktop jarak jauh yang populer untuk Windows, Linux, dan macOS, yang digunakan oleh jutaan orang di seluruh dunia untuk konektivitas jarak jauh yang aman atau melakukan administrasi sistem. Karena popularitas alat tersebut, kampanye distribusi malware sering menyalahgunakan merek AnyDesk. Misalnya, pada Oktober 2022, Cyble melaporkan bahwa operator Mitsu Stealer menggunakan situs phishing AnyDesk untuk mendorong malware baru mereka.

Dikutip dari Bleeping Computer, crep1x memposting temuannya di Twitter, an membagikan daftar lengkap nama host jahat. Semua nama host ini menyelesaikan ke alamat IP yang sama yaitu 185.149.120[.]9. Daftar nama host mencakup kesalahan ketik untuk AnyDesk, MSI Afterburner, 7-ZIP, Blender, Dashlane, Slack, VLC, OBS, aplikasi perdagangan mata uang kripto, dan perangkat lunak populer lainnya.

“Terlepas dari namanya, semuanya mengarah ke situs klon AnyDesk yang sama,” kta crep1x.

Pada saat penulisan laporan ini, sebagian besar domain masih online, sementara yang lain telah dilaporkan dan dibuat offline oleh pendaftar atau diblokir oleh alat AV. Bahkan untuk situs yang aktif, tautan Dropbox mereka tidak lagi berfungsi setelah file berbahaya dilaporkan ke layanan penyimpanan cloud.

“Karena semua kampanye ini mengarah ke situs yang sama, pelaku ancaman dapat dengan mudah memperbaikinya dengan memperbarui URL unduhan ke situs lain,” tambah crep1x.

Dalam kampanye yang baru ditemukan, situs tersebut mendistribusikan file ZIP bernama 'AnyDeskDownload.zip' [VirusTotal] yang berpura-pura menjadi penginstal untuk perangkat lunak AnyDesk. Namun, alih-alih menginstal perangkat lunak akses jarak jauh, ia justru menginstal Vidar stealer, malware pencuri informasi yang beredar sejak 2018.

Saat dipasang, malware akan mencuri riwayat browser korban, kredensial akun, kata sandi yang disimpan, data dompet cryptocurrency, informasi perbankan, dan data sensitif lainnya. Data ini kemudian dikirim kembali ke penyerang, yang dapat menggunakannya untuk aktivitas jahat lebih lanjut atau menjualnya ke pelaku ancaman lainnya.

Pengguna biasanya berakhir di situs ini setelah menelusuri Google untuk perangkat lunak dan game versi bajakan. Mereka kemudian diarahkan ke 108 domain tahap kedua yang mengarahkan mereka ke tujuan akhir dari 20 domain yang mengirimkan muatan berbahaya.

Alih-alih menyembunyikan muatan malware di balik pengalihan untuk menghindari deteksi dan pencopotan, kampanye Vidar baru-baru ini menggunakan layanan hosting file Dropbox, yang dipercaya oleh alat AV, untuk mengirimkan muatan.

BleepingComputer baru-baru ini melihat Vidar disebarkan oleh kampanye yang mengandalkan lebih dari 200 domain kesalahan ketik yang menyamar sebagai 27 merek perangkat lunak.

Beberapa hari yang lalu, SEKOIA menerbitkan sebuah laporan yang mengungkapkan kampanye distribusi pencuri info besar-besaran lainnya menggunakan 128 situs web yang mempromosikan perangkat lunak yang telah diretas. Tidak jelas apakah semua kampanye malware ini terkait dengan situs AnyDesk palsu.

Pengguna disarankan untuk menandai situs yang mereka gunakan untuk mengunduh perangkat lunak, menghindari mengeklik hasil yang dipromosikan (iklan) di Google Penelusuran, dan menemukan URL resmi proyek perangkat lunak dari halaman Wikipedia, dokumentasi, atau pengelola paket OS.