安全研究人员发现一波恶意攻击活动,利用1,300多个恶意域名冒充远程桌面连接软件AnyDesk站点,以便在用户计算机下载窃密程序Vidar。
图片来源/@crep1x on Twitter
代号crep1x的安全厂商SEKOIA研究人员指出,这些假域名全部都解析成185.149.120“.”9的IP地址。不慎连入的用户会被导向同一个Dropbox连接,以下载Vidar窃密程序。
研究人员也公开这超过千域名的主机清单,其中许多都是刻意打错字以冒充知名软件7-Zip、Slack、AnyDesk、TeamViewer的误植域名攻击(typosqat)手法,但都显示为AnyDesk网站,看起来是重复使用之前其他恶意活动的域名。
韩国安全公司AhnLab研究人员指出,Vidar主要目的是窃取资讯,但也常被用以传播勒索软件。攻击者经常是在知名服务或社交平台创建一次性账号托管C&C网址,或是挟带在电子邮件附件宏中传播。一旦Vidar在用户计算机搜集机密敏感资讯,即会将这些资讯压缩成.Zip档发送给C&C主机。
Crep1x指出,目前大部分恶意主机都还在运营中。研究人员尚不清楚这些网址的传播途径为何。