AnyDesk に大量の偽サイト:Vidar マルウェアを配布する 1,300 以上のドメイン

Over 1,300 fake AnyDesk sites push Vidar info-stealing malware

2023/01/10 BleepingComputer — AnyDesk の公式サイトを装う 1,300以上のドメインを用いて、情報スティーラー・マルウェア Vidar を仕込んだ Dropbox フォルダーへと、すべてのターゲットをリダイレクトさせる、大規模なキャンペーンが進行中だ。AnyDesk は、Windows/Linux/mac OS向けの、リモート・デスクトップ・アプリであり、セキュアなリモート接続/システム管理のために、世界中で数百万人が使用している。この人気から、AnyDesk は、マルウェア配布キャンペーンで頻繁に悪用されている。たとえば、2022年10月に、AnyDesk のフィッシング・サイトを利用する Mitsu Stealer のオペレーターが、新しいマルウェアをプッシュしていることを Cyble が報告している。

SEKOIA の脅威アナリストである crep1x は、現在進行中の新しい AnyDesk キャンペーンを発見し、Twitter で警告するとともに、悪質なホストネームの完全なリストを共有した。これらのホスト名は全て、185.149.120[.]9 という、同一の IP アドレスに対応している。

ホスト名のリストには、AnyDesk/MSI Afterburner/7-ZIP/Blender/Dashlane/Slack/VLC/OBS/暗号通貨取引アプリや、その他の人気ソフトウェアの typoSquats が含まれている。しかし、ホスト名には関係なく、すべてが以下のような1つの AnyDesk クローン・サイトにつながっている。

Fake AnyDesk site used in Vidar distribution
Vidar の配布に使われた偽の AnyDesk サイト (BleepingComputer)

現時点においては、大半のドメインがオンラインの状態だ。一部のドメインは、レジストラにより報告されてオフラインとなり、また、AV ツールによりブロックされている。オンライン状態のサイトであっても、Dropbox に対して悪質なファイルが報告された後に、そのリンクは機能しなくなっている。

しかし、このキャンペーンの背後にいる脅威アクターは、すべてを同一のサイトに誘導しているため、ダウンロード URL を別のサイトへと、簡単に切り替えることができる。

Vidar Stealer に誘導されるサイト

今回のキャンペーンでは、AnyDesk ソフトのインストーラーを装う ZIP ファイル AnyDeskDownload.zip [VirusTotal] が、悪意のサイトから配布される。

このインストーラー実行すると、2018年から出回っている情報窃取マルウェア Vidar stealer が、AnyDesk に換えてインストールされる。

このマルウェアがインストールされると、被害者のブラウザーの履歴/アカウントの認証情報/保存されたパスワード/暗号通貨ウォレットのデータ/銀行情報などの機密データが盗まれる。盗まれたデータは攻撃者に送られ、さらなる悪意の活動に使用され、また、他の脅威アクターに売却される可能性もある。

Google でソフトウェアやゲームの海賊版を検索した後に、これらのサイトにたどり着くターゲットが多いという。続いて、108 箇所のセカンド・ステージ・ドメインに誘導され、最終的な悪意のペイロードを配信する、20箇所のドメインにリダイレクトされる。

今回の Vidar キャンペーンでは、マルウェアのペイロードをリダイレクトの背後に隠して、検出やテイクダウンを回避するのではなく、アンチウイルス・ツールで信頼されている Dropbox サービスを悪用してペイロードを配信している。

先日に BleepingComputer は、27件のソフトウェア・ブランドを装う、200件以上のタイポスクワッティング・ドメインを介して、Vidar がプッシュされていることを確認した。また、数日前に SEKOIA は、クラックされたソフトウェアを宣伝する 128件の Web サイトを使用する、別の大規模な情報スティーラーの配布キャンペーンを明らかにした。これらのマルウェア・キャンペーンの全てが、AnyDesk の偽サイトに関連しているかどうかは不明だ。

ユーザーに推奨される対策は、ソフトウェアのダウンロードに使用するサイトをブックマークする/Google 検索で表示された広告をクリックしないことや、ソフトウェア/プロジェクトの公式 URL を、その Wikipedia ページ/ドキュメント/OS のパッケージ・マネージャなどから見つけることである。

ほんと、インターネットの世界はトラップだらけです。最近の Phishing-as-a-Service 関連の記事は以下のとおりで、毎月のように新しい脅威が見つかっています。文中の末尾にあるように、各種の Web サイトを信用しないという、心のゼロトラストが必要になっています。

2022/09:EvilProxy という Phishing-as-a-Service
2022/10:Caffeine という Phishing-as-a-Service
2022/11:Robin Banks は Phishing-as-a-Service

また、2022年3月の「Phishing Kit を解説:検出を回避する手口と延命のための悪知恵とは?」という記事では、フィッシングの手口が整理されていますので、よろしければ、ご参照ください。

%d bloggers like this: