เป็นวิธีการที่ใช้กันจำนวนมาก
มากกว่า 1,300 Domain ที่แอบอ้างเป็น เว็บไซต์ AnyDesk อย่างเป็นทางการที่กำลังทำงานอยู่ โดยจะเปลี่ยนเส้นทางไปยัง Dropbox เพื่อให้ Vidar malware ขโมยข้อมูล
AnyDesk เป็นที่นิยม ในการใช้ควบคุมคอมพิวเตอร์จากระยะไกลสำหรับ Window,
Linux, MacOS โดยผู้ใช้หลายล้านคนทั่วโลกที่ใช้ เพื่อการเชื่อมต่อระยะไกล หรือผู้ดูแลใช้ในการดูแลระบบ
แต่เนื่องจากตัวช่วยนี้เป็นที่นิยม จึงมักจะถูกใช้เป็นแหล่งกระจาย Malware ด้วย ตัวอย่างเช่น ในเดือนตุลาคม 2022 ทาง Cyble ได้รายงานว่า มีตัว Mitsu Stealer ใช้เว็บ AnyDesk ในการ Phishing เพื่อพยายามใช้ Malware ตัวใหม่ของพวกเขา Cyble
— Mitsu Stealer distributed via AnyDesk Phishing Site
สำหรับภัยคุกคามที่ยังคงดำเนินการอยู่นี้ ถูกพบโดยผู้เชี่ยวชาญ crep1x ของ SEKOIA ได้ออกมาเตือนเกี่ยวกับภัยคุกคามนี้บน Twitter และได้แชร์รายชื่อของ Hostname ที่เป็นอันตราย โดยรายชื่อทั้งหมดนี้ถูกแก้ไขไปที่ IP address : 185.149.120[.]9. https://gist.githubusercontent.com/qbourgue/a81873df59004858a107a7c10b3a3fd7/raw/e731b15ee245bca08834c6da9a69fe8dd16f5f83/vidar_fqdn_impersonating_anydesk_website.txt โดยรายชื่อ Hostname ข้างต้นรวมไปถึง การพิมพ์ผิดเพื่อหา AnyDesk, MSI Afterburner, 7-ZIP, Blender, Dashlane, Slack, VLC, OBS, Application ซื้อขาย Cryptocurrency เป็นต้น อย่างไรก็ตาม แม้ว่าชื่อที่ว่ามาทั้งหมดจะนำไปที่เว็บไซต์ปลอมของ AnyDesk ดังรูปด้านล่าง
ซึ่ง Domain ที่เป็นอันตรายส่วนใหญ่ยังคงทำงานอยู่ ในขณะตัวอื่นๆ ได้ถูกรายงาน และถูกปิดการใช้งาน
โดยเว็บไซต์หลัก หรือถูกบล๊อคโดย Antivirus ดังนั้นลิ้ง Dropbox
ของพวกเขาจะไม่ทำงานอีก หลังจากได้รับรายงาน เรื่องไฟล์ที่เป็นอันตรายให้กับบริการ Cloud storage แต่อย่างไรก็ตาม ผู้ไม่ประสงค์ดีสามารถแก้ไขได้โดยง่าย
ด้วยการอัพเดท URL ที่ใช้ดาวน์โหลด ไปยังเว็บไซต์อื่น
ทุกเว็บไซต์จะนำไปสู่ Vidar Stealer
ในรูปแบบการบุกรุกแบบใหม่นี้ เว็บไซต์จะกระจาย ZIP file ในชื่อ ‘AnyDeskDownload.zip’ เป็นตัวติดตั้งปลอมของ AnyDesk software ซึ่งแทนที่จะติดตั้ง Remote access Software แต่จะติดตั้ง Vidar stealer แทนเพื่อใช้ Malware ขโมยข้อมูล ซึ่งใช้มาตั้งแต่ 2018 เมื่อได้ทำการติดตั้งแล้ว Malware จะขโมย Browser history, Account credentials, Saved passwords, Cryptocurrency wallet data, Banking information และข้อมูลที่สำคัญอื่นๆ โดยข้อมูลเหล่านี้จะถูกส่งกลับไปที่ผู้โจมตี ซึ่งจะถูกใช้ในหลายหลายวิธีที่อันตราย หรือขายข้อมูลนี้ต่อให้ ผู้ไม่ประสงค์ดี ซึ่งผู้ใช้ทั่วไปมักจะจบลงด้วยเว็บไซต์ที่เป็นอันตรายเหล่านี้ เมื่อทำการค้นหา Software เวอร์ชันละเมิดลิขสิทธิ์บน Google จากนั้นพวกเขาจะถูกนำไปสู่อีกหลาย Domains ที่สามารถเปลี่ยนเส้นทางไปจบที่ Domains ที่จะค่อยส่ง Payload ที่เป็นอันตราย ซึ่งแทนที่จะซ่อน Malware ไว้เบื้องหลังการเปลี่ยนเส้นทาง เพื่อหลบเลี่ยงการตรวบพบ และถูกลบ แต่ตัว Vidar ใช้ Dropbox file hosting service ที่ได้รับความเชื่อถือจาก Antivirus เพื่อส่ง Payload ที่เป็นอันตรายแทน
BleepingComputer ได้พบ Vidar เมื่อไม่นานมานี้ ได้เริ่มพยายามคุกคาม
โดยผ่านทางการพิมพ์ชื่อ Domains ผิดโดยมีจำนวนกว่า 200
Domain เพื่อนำไปยังกับ Software แอบอ้างกว่า 27
Brands / SEKOIA ได้รายงานว่ามีตัวขโมยข้อมูลกระจายอยู่อีกมาก
บนเว็บไซต์กว่า 128 แห่ง ที่เกี่ยวกับการ Cracked
software ซึ่งยังไม่แน่ใจว่าส่วนนี้เกี่ยวข้องกับเว็บไซต์ AnyDesk ปลอมหรือไม่
โดยแนะนำให้ผู้ใช้ดาวน์โหลด
Software
จาก Bookmark สำหรับดาวน์โหลด Software โดยเฉพาะ และหลีกเลี่ยงการกดจากโฆษณาบน Google Search และใช้ URL จากเว็บทางการเท่านั้น บนหน้าเอกสาร Wikipedia หรือ OS’s package manager
Ref: https://www.bleepingcomputer.com/
ไม่มีความคิดเห็น:
แสดงความคิดเห็น