Furto dati: i ricercatori di sicurezza individuano oltre 1300 siti fake del famoso tool di accesso remoto Anydesk. Distribuiscono il malware Vidar Stealer

I ricercatori individuano 1300 domini fake che sfruttando il brand Anydesk

A darne notizia, su Twitter, è stato per primo il ricercatore crep1x. E’ stato lui infatti a individuare oltre 1300 domini che imitavano il sito ufficiale di Anydesk. Anydesk, il famosissimo software (legittimo) di accesso remoto, non ha invece bisogno di presentazioni. Proprio la fama di Anydesk è la principale motivazione alla base delle sempre più frequenti campagne che ne sfruttano il brand. Tra le più recenti ricordiamo quella dell’Ottobre 2022 : i gestori del malware Mitsu Stealer allestirono una serie di siti web molto somiglianti a quello ufficiale del software per distribuire il loro nuovo malware infostealer.

La nuova campagna che sfrutta AnyDesk, tutt’ora in corso, poggia su ben 1300 differenti domini (qui la lista completa). La particolarità è che tutti in realtà risolvono lo stesso indirizzo IP 185.149.120[.]9. Non solo: tutti gli utenti che sono incappati accidentalmente su questi siti web, sono indirizzati verso lo stesso link Dropbox. La “sorpresa” è proprio lì dentro, nel Dropbox. Anche il sito web fake è sempre lo stesso, eccolo sotto in foto

Il sito fake

Uno sguardo alla lista dei domini rende evidente che gli attaccanti non si sono limitati a sfruttare Andydesk: molti dei domini imitano domini e brand come MSI Afterburner, Z-ZIP, Blender, Dashlane, Slack, VLC ecc…

La maggior parte dei siti dannosi al momento risulta offline ad opera del registrar oppure bloccata dalle soluzioni antivirus. Alcuni invece sono ancora online. Fortunatamente il link Dropbox non conduce più al download del malware. Il servizio di storage in cloud lo ha interrotto una volta ricevuta la segnalazione sul malware e sul sito web fake.

Tanti siti un solo malware: Vidar Stealer

Come detto, tutte le strade portavano ad un solo punto: il download del malware per il furto dati Vidar. Al click, si attivava il download di un file rinominato ‘AnyDeskDownload.zip’ (qui l’analisi VirusTotal), nome scelto evidentemente per ingannare l’utente. L’archivio contiene un eseguibile che non installa, ovviamente AnyDesk, ma questo malware per il furto dati individuato in distribuzione, per la prima volta, nel 2018.

Vidar stealer può:

  • rubare la cronologia del browser,
  • credenziali dell’account,
  • password salvate,
  • dati dei wallet di criptovaluta,
  • informazioni bancari e altri dati sensibili

Il metodo di distribuzione tramite il servizio di hosting Dropbox lo rende una minaccia insidiosa, visto che le soluzioni antivirus considerano Dropbox come affidabile. Il payload così raramente viene bloccato prima del download.

Vidar Stealer e i siti fake

L’uso di siti fake che simulano quelli istituzionali di famosi software non è affatto una novità per Vidar Stealer. Anzi. La redazione di Bleeping Computer ha ricostruito che Vidar è stato distribuito con campagne che sono arrivate a sfruttare oltre 200 domini fake che “impersonificavano” ben 27 diversi brand.

Nel Dicembre 2022 c’è stata un’ulteriore campagna di distribuzione che ha addirittura visto l’uso di Google Ads per spingere “più in alto” nei risultati i siti web compromessi. Pochi giorni fa invece sono stati 128 i siti fake individuati, in questo caso promuovevano software crackati.


Cerchi soluzioni di sicurezza dei dispositivi o per la protezione dei dati?