網絡安全組織 SEKOIA 嘅威脅分析師 crep1x 發現,有網絡犯罪集團利用偽裝為遙距工作工具 AnyDesk 大肆散播病毒,專家話犯罪分子動用咗 1300 個 domain 去假扮成 AnyDesk 網站,並將用於盜竊電腦內儲存資料嘅 Vidar惡意軟件隱藏喺 Dropbox 上,減少被安全工具偵測嘅風險。而所有用於掛載 AnyDesk 釣魚網站嘅 IP 就係 185.149.120. 9 起始,IT 管理員可以將完整嘅惡意網址加入 filters,防止同事錯誤下載病毒使用。
喺疫情嘅遙距工作模式下,相信唔少人都用過 AnyDesk,而喺上年 10 月,網絡安全公司 Cyble 早已指出 Mitsu Stealer 犯罪集團慣常架設 AnyDesk 釣魚網站去散播病毒,而今次被 crep1x 發現嘅新一輪攻擊,採用嘅手法亦差唔多,不過 Vidar 就將病毒儲存喺 Dropbox 之上,專家話因為大部分網絡安全工具都視 Dropbox 為可信任網站,因此傾向容許用戶由 Dropbox 下載檔案,而且犯罪集團亦將檔案名改為 AnyDeskDownload.zip,令用戶睇起上來更可信。不過,當用戶安裝檔案,實際上卻係將 Vidar 引入電腦,Vidar 會自動收集瀏覽器內儲存嘅帳戶登入資料、密碼、電子錢包資料及其他重要數據,並將資料回傳犯罪集團嘅控制中心。除咗呢個攻擊,其實 SEKOIA 亦發現另一個集團使用類似技術,不過對方就唔單只利用 AnyDesk,而係會假扮成27款網民常用軟件,而且為咗增加成功率,更會用 typosquatting 手法去命名網址,甚至使用 Google Ads 去推高呢啲網址嘅排名,稍為唔覺意都好易中招。
至於有乜防禦方法呢?其實都係要靠網民自己小心,例如建議唔好點擊 Google 搜尋頁面嘅廣告連結、睇清楚網址係咪無串錯、bookmark低自己經常會下載軟件使用嘅網站,同埋一定唔好用盜版軟件啦。