Des cybercriminels usurpent l’identité d’AnyDesk pour installer un stealer

Un analyste de Sekoia partage une liste de 1 300 domaines frauduleux, pour la plupart des typosquats

Crep1x, analyste sécurité chez Sekoia, a révélé, le 8 janvier 2023, une vaste opération d’usurpation d’identité visant AnyDesk, un logiciel de bureau à distance. Il a publié sur Twitter une liste de 1 300 domaines, renvoyant tous vers un clone malveillant du site officiel d’AnyDesk.

La liste comprend notamment des typosquats, ces noms de domaine qui ressemblent à ceux d’un site connu. Ils singent notamment les domaines d’AnyDesk, MSI Afterburner, 7-ZIP, Blender, Dashlane, Slack, VLC ou OBS. Des applications de trading de cryptomonnaies et d’autres logiciels populaires sont également concernés.

Mais ces 1 300 domaines frauduleux (d’ailleurs tous liés à la même adresse IP) renvoient tous au même clone du site d’AnyDesk. Ce dernier propose de télécharger, via DropBox, un fichier ZIP permettant prétendument d’installer AnyDesk.

Le fichier contient en fait Vidar, un stealer actif depuis 2018. Une fois installé, il peut dérober l’historique de navigation, des identifiants, des mots de passe, des données de portefeuilles crypto, des informations bancaires et autres données sensibles.