On sait que le logiciel d’accès à distance AnyDesk est souvent détourné par des pirates informatiques à des fins malveillantes. On vient également d’apprendre que la marque populaire a été usurpée pour crédibiliser des tentatives de hameçonnage. Une campagne malveillante vient en effet d’être repérée au début du mois de janvier par un analyste de l’entreprise de cybersécurité française Sekoia et signalée par The Bleeping computer.
Selon cet analyste, plus de 1 300 noms de domaines hébergent une page usurpant le site officiel d’AnyDesk, Une page qui renvoie en réalité vers le téléchargement du stealer Vidar depuis un compte Dropbox. Mieux vaut, si vous cherchez à installer AnyDesk, à le télécharger directement depuis sa page officielle ou depuis le magasin d’applications de votre terminal.
Typosquatting
Comme l’a remarqué l’analyste, les noms de domaine mobilisés dans la campagne de hameçonnage ne se contentent pas d’usurper ou d’imiter la marque AnyDesk. Il s’agit de typosquatting, cette façon de tenter de tromper l’internaute avec une adresse URL proche de l’adresse légitime. Les noms des logiciels ou plateformes 7zip, Slack, TeamViewer ou encore VideoLan sont également détournés. Toutefois, toutes ces adresses renvoient vers une seule fausse page imitant celle d’AnyDesk.
Selon l’entreprise Cyble, le malware Vidar est un logiciel espion qui vise les environnements Windows. Apparu en 2018, ce discret programme malveillant cible la collecte d’informations bancaires et crypto, l’historique de navigation ou encore des mots de passe de l’utilisateur. Disponible à la demande des cybercriminels, le malware est customisable. Il a notamment été utilisé pour propager le rançongiciel GandCrab.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));