Kriminelle stehlen Daten mit gefälschten AnyDesk-Websites
Kriminelle verbreiten mit gefälschten Domains die Malware Vidar. Die Websites geben vor, zum beliebten Remote-Desktop-Programm AnyDesk zu gehören. Die Malware stiehlt persönliche Daten.
Cyberkriminelle nutzen derzeit in grossem Stil Fake-Websites, um persönliche Daten zu stehlen. Die Websites geben vor, zur weit verbreiteten Remote-Desktop-Anwendung AnyDesk zu gehören, wie "Bleepingcomputer" schreibt. Die Plattform berichtet von mehr als 1300 gefälschten Domains, die allesamt auf einen Dropbox-Ordner verleiten, über den zuletzt die Malware Vidar verbreitet wurde. Kriminelle nutzen die Software zum Diebstahl von persönlichen Daten, darunter Login-Daten, Krypto-Wallet-Daten, Bankinformationen und andere sensible Details.
AnyDesk ist eine beliebte Remote-Desktop-Anwendung für Windows, Linux und macOS, die Millionen von Menschen weltweit für Remote-Verbindungen oder zur Systemadministration nutzen. Aufgrund der Beliebtheit des Tools werde die Marke AnyDesk häufig für Malware-Kampagnen missbraucht, schreibt "Bleepingcomputer".
Der Sekoia-Bedrohungsanalyst "crep1x" habe auf Twitter vor der aktuellen Kampagne gewarnt. Der User veröffentlichte auch eine vollständige Liste der bösartigen Hostnamen, die sich alle auf dieselbe IP-Adresse zurückführen lassen. Die Liste der Hostnamen enthält Typosquats für AnyDesk, MSI Afterburner, 7-ZIP, Blender, Dashlane, Slack, VLC, OBS, Programme für Krypto-Trading und andere beliebte Software. Beim Typosquatting zielen Kriminelle darauf ab, dass sich User bei der Suche nach verbreiteten Websites oder Programmen vertippen.
Unabhängig vom Namen hätten alle Seiten zur gleichen AnyDesk-Klon-Website geführt, schreibt Bleepingcomputer weiter. Inzwischen seien einige der bösartigen Domains bereits offline. Bei den übrigen sei der Dropbox-Link vom Cloud-Dienst deaktiviert worden. Da jedoch alle Links auf dieselbe Website verweisen, könne der Bedrohungsakteur dies leicht beheben, indem er die Download-URL auf eine andere Website aktualisiert.
Die Websites verteilen laut Bleepingcomputer allesamt eine Zip-Datei namens "AnyDeskDownload.zip". Statt der Fernzugriff-Software lauert darin jedoch die Vidar-Malware. Diese installiert sich nach dem Download automatisch und stiehlt empfindliche Daten, die von den Kriminellen weiterverkauft oder für Erpressungen genutzt werden.
In der Regel würden jene User auf solchen Websites landen, die im Internet nach raubkopierten Versionen von Software-Programmen oder Games suchen, schreibt Bleepingcomputer. Das Portal empfiehlt Internetnutzerinnen und -nutzern, Websites, die sie zum Herunterladen von Software verwenden, mit Lesezeichen zu versehen, nicht auf beworbene Google-Ergebnisse (Anzeigen) zu klicken und die offizielle URL von Software-Programmen auf Wikipedia oder im Paketmanager des Betriebssystems zu suchen.
Übrigens: Das NCSC warnt in seinem ersten Wochenrückblick des Jahres 2023 vor gefälschten Google-Resultaten. Kriminelle hacken Websites und schleusen dort Schadcode ein. Damit manipulieren sie die Suchmaschinen-Resultate, um eigene Websites höher zu "ranken" - hier erfahren Sie mehr dazu.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Wenn die Tribute von Panem ein Disney-Film wären
Valtech übernimmt Kin + Carta
KI in der Softwareentwicklung: Co-Pilot statt Konkurrent
Update: Google verschiebt Privacy-Sandbox auf 2025
Schwachstelle ermöglicht Fremdzugriff bei Logins auf Android-TVs
Dank Nutanix mit klarem Blick in die Zukunft
Sicherheit im digitalen Zeitalter: Die Rolle von NIS2 für die Schweizer Wirtschaft
Daten verstehen und managen: Der erste Schritt zur Digitalisierung
Das E-Rezept als Treiber der Digitalisierung
