安全研究人員發現一波惡意攻擊活動,利用1,300多個惡意網域冒充遠端桌面連線軟體AnyDesk站點,以便在用戶電腦下載竊密程式Vidar。
代號crep1x的安全廠商SEKOIA研究人員指出,這些假網域全部都解析成185.149.120[.]9的IP位址。不慎連入的用戶會被導向同一個Dropbox連結,以下載Vidar竊密程式。
研究人員也公開這逾千網域的主機清單,其中許多都是刻意打錯字以冒充知名軟體7-Zip、Slack、AnyDesk、TeamViewer的誤植域名攻擊(typosqat)手法,但都顯示為AnyDesk網站,看起來是重覆使用之前其他惡意活動的網域。
南韓安全公司AhnLab研究人員指出,Vidar主要目的是竊取資訊,但也常被用以散布勒索軟體。攻擊者經常是在知名服務或社交平臺建立一次性帳號代管C&C網址,或是挾帶在電子郵件附檔巨集中散布。一旦Vidar在用戶電腦蒐集機敏資訊,即會將這些資訊壓縮成.Zip檔傳送給C&C主機。
Crep1x 指出,目前大部分惡意主機都還在營運中。研究人員尚不清楚這些網址的散布途徑為何。
熱門新聞
2024-04-15
2024-04-15
2024-04-15
2024-04-15
2024-04-15
2024-04-15
2024-04-15
Advertisement