Situs Phising AnyDesk

Situs Phising AnyDesk

by penulis : January 13, 2023January 13, 2023 ARTIKEL, Email Security

Ribuan domain menyamar website AnyDesk ditemukan beredar luas di internet, situs phising anydesk ini mengancam jutaan penggunanya di seluruh dunia.

Operasi besar-besaran menggunakan lebih dari 1.300 domain untuk menyamar sebagai situs resmi AnyDesk sedang berlangsung, semuanya dialihkan ke folder Dropbox baru-baru ini mendorong malware pencuri informasi Vidar.

AnyDesk adalah aplikasi desktop jarak jauh yang populer untuk Windows, Linux, dan macOS, yang digunakan oleh jutaan orang di seluruh dunia untuk konektivitas jarak jauh yang aman atau melakukan administrasi sistem.

Karena popularitas alat tersebut, operasi distribusi malware sering menyalahgunakan merek AnyDesk. Misalnya, pada Oktober 2022, dilaporkan bahwa operator Mitsu Stealer menggunakan situs phising AnyDesk untuk menyebarkan malware baru mereka.

Operasi AnyDesk baru yang sedang berlangsung ditemukan oleh analis yang memperingatkan ancaman ini di Twitter dan membagikan daftar lengkap nama host berbahaya. Semua nama host ini mengarah ke alamat IP yang sama yaitu 185.149.120[.]9.

Daftar nama host mencakup kesalahan ketik seperti:

AnyDesk.
MSI Afterburner.
7-ZIP.
Blender.
Dashlane.
Slack.
VLC.
OBS.
aplikasi perdagangan mata uang kripto.
dan perangkat lunak populer lainnya.

Namun, terlepas dari namanya, seluruh host tersebut mengarah ke situs klon AnyDesk yang sama.

Domain Masih Aktif

Pada saat penulisan ini, ribuan domain menyamar website AnyDesk ini sebagian besar domain masih online, sementara yang lain telah dilaporkan dan dibuat offline oleh pendaftar atau diblokir oleh AV.

Bahkan untuk situs yang aktif, tautan Dropbox mereka tidak lagi berfungsi setelah file berbahaya dilaporkan ke layanan penyimpanan cloud.

Namun, karena semua operasi ini mengarah ke situs yang sama, pelaku ancaman dapat dengan mudah memperbaikinya dengan memperbarui URL unduhan ke situs lain.

Semua situs mengarah ke Vidar Stealer

Dalam kampanye yang baru ditemukan, situs tersebut mendistribusikan file ZIP bernama ‘AnyDeskDownload.zip’ [VirusTotal] yang berpura-pura menjadi penginstal perangkat lunak AnyDesk.

Namun, alih-alih menginstal perangkat lunak akses jarak jauh, ia justru menginstal Vidar stealer, malware pencuri informasi yang beredar sejak 2018.

Saat dipasang, malware akan mencuri riwayat browser, kredensial, kata sandi yang disimpan, data dompet cryptocurrency, informasi perbankan, dan data sensitif lainnya.

Data ini kemudian dikirim kembali ke pelaku, yang dapat digunakannya untuk aktivitas jahat lebih lanjut atau menjualnya ke pelaku ancaman lainnya.

Namun, pengembang malware menggunakan banyak trik ketimbang hanya menyembunyikan muatan malware di balik pengalihan untuk menghindari deteksi dan uninstal,

Operasi Vidar baru-baru ini menggunakan layanan hosting file Dropbox yang dianggap legitimate oleh AV untuk mengirimkan muatan.

Baru-baru ini diketahui Vidar didorong oleh operasi yang mengandalkan lebih dari 200 domain pengetikan yang meniru 27 merek perangkat lunak.

Penyalahgunaan Google Ads

Operasi lain yang mendorong Vidar melalui penyalahgunaan Google Ads ditemukan pada akhir Desember 2022, yang juga menyalahgunakan merek AnyDesk.

Sementara beberapa hari yang lalu, diketahui terjadi distribusi pencuri info besar-besaran menggunakan 128 situs web yang mempromosikan perangkat lunak crack.

Pengguna biasanya berakhir di situs ini setelah menelusuri Google untuk perangkat lunak dan game versi bajakan.

Mereka kemudian diarahkan ke 108 domain tahap kedua yang mengarahkan mereka ke tujuan akhir dari 20 domain yang mengirimkan muatan berbahaya. Namun tidak ada tumpang tindih antara kedua kampanye tersebut.

Pengguna disarankan untuk menandai situs yang mereka gunakan untuk mengunduh perangkat lunak, menghindari mengeklik hasil yang dipromosikan (iklan) di Google Penelusuran.

Dan selain itu, disarankan untuk menggunakan URL resmi proyek perangkat lunak dari halaman Wikipedia, dokumentasi, atau pengelola paket OS Anda.

Baca lainnya:

Phising Menggunakan Postingan Facebook
Lampiran Email Aman Dibuka
Tanda Peringatan Email Berbahaya
Identifikasi Konten Jahat di Mailbox
Email Serangan Paling Menguntungkan
Operasi Phising MSP

Sumber berita:

Prosperita IT News

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.