Xakep #240. Ghidra

• Содержание выпуска


• Подписка на «Хакер»

Эксперты «Доктор Веб» предупредили о компрометации официального сайта VSDC, популярной программы для обработки видео и звука. По данным SimilarWeb, ежемесячная посещаемость сайта составляет около 1,3 миллиона пользователей. Ссылки на скачивание редактора подменили, и вместе с программой пользователи загружали банковского трояна Win32.Bolik.2, а также стилера Trojan.PWS.Stealer (KPOT Stealer).

Исследователи пишут, что впервые неизвестные злоумышленники получили доступ к административной части сайта VSDC еще в 2018 году, после чего подменили ссылки на скачивание файлов. Вместо редактора пользователи загружали jаvascript-файл, который затем загружал в систему жертвы AZORult Stealer, X-Key Keylogger и DarkVNC backdoor. Компания VSDC сообщила о закрытии этой уязвимости, однако недавно специалистам стало известно о других случаях заражения.

По данным «Доктор Веб», с момента последнего заражения компьютер разработчика VSDC был скомпрометирован еще несколько раз. Один из взломов привел к компрометации сайта в период с 21 февраля 2019 года по 23 марта 2019 года.

На этот раз хакеры использовали другой метод распространения вредоносного ПО: на сайт VSDC они встроили вредоносный jаvascript-код. Его задача заключалась в определении геолокации посетителей и замене ссылки на скачивание для пользователей из Великобритании, США, Канады и Австралии. Вместо стандартных ссылок VSDC использовались ссылки на другой скомпрометированный ресурс:

• https://thedoctorwithin[.]com/video_editor_x64.exe


• https://thedoctorwithin[.]com/video_editor_x32.exe


• https://thedoctorwithin[.]com/video_converter.exe

Пользователи, загрузившие программу с этого ресурса, также скачивали банкер Win32.Bolik.2. Как и его аналог Win32.Bolik.1, эта малварь имеет свойства многокомпонентного полиморфного файлового вируса. Такие трояны предназначены для выполнения веб-инжектов, перехвата трафика, кейлоггинга и похищения информации из систем «банк-клиент» различных кредитных организаций.

В настоящий момент специалистам известно по меньшей мере о 565 случаях заражения этим трояном через сайт videosoftdev.com.

Кроме того, 22 марта 2019 года взломщики заменили Win32.Bolik.2 другой малварью – одним из вариантов Trojan.PWS.Stealer (KPOT Stealer). Этот троян похищает информацию из браузеров, аккаунта Microsoft, различных мессенджеров и других программ. За один день его загрузили на свои устройства 83 пользователя.

Разработчики VSDC уведомлены о компрометации сайта, и на данный момент ссылки на скачивание файлов восстановлены.

Теги: CSS, VSDC ссылки скачивание сайта другой