事件主旨:
上千假AnyDesk網站散布竊密程式Vidar

內容說明:
安全研究人員發現一波惡意攻擊活動，利用1,300多個惡意網域冒充遠端桌面連線軟體AnyDesk站點，以便在用戶電腦下載竊密程式Vidar。



代號crep1x的安全廠商SEKOIA研究人員指出，這些假網域全部都解析成185.149.120[.]9的IP位址。不慎連入的用戶會被導向同一個Dropbox連結，以下載Vidar竊密程式。



研究人員也公開這逾千網域的主機清單，其中許多都是刻意打錯字以冒充知名軟體7-Zip、Slack、AnyDesk、TeamViewer的誤植域名攻擊（typosqat）手法，但都顯示為AnyDesk網站，看起來是重覆使用之前其他惡意活動的網域。



南韓安全公司AhnLab研究人員指出，Vidar主要目的是竊取資訊，但也常被用以散布勒索軟體。攻擊者經常是在知名服務或社交平臺建立一次性帳號代管C&C網址，或是挾帶在電子郵件附檔巨集中散布。一旦Vidar在用戶電腦蒐集機敏資訊，即會將這些資訊壓縮成.Zip檔傳送給C&C主機。


風險等級:
2

建議措施:
不隨意下載來路不明軟體