Официальный сайт видеоредактора VSDC скомпрометирован, ссылки подменили трояном - «Новости»
14-04-2019, 18:01. Автор: Глафира
}else{
$('#mpu1-desktop').remove();
console.log('mpu1-desktop removed');
}
});
Рекомендуем почитать:
Xakep #240. Ghidra
- Содержание выпуска
- Подписка на «Хакер»
Эксперты «Доктор Веб» предупредили о компрометации официального сайта VSDC, популярной программы для обработки видео и звука. По данным SimilarWeb, ежемесячная посещаемость сайта составляет около 1,3 миллиона пользователей. Ссылки на скачивание редактора подменили, и вместе с программой пользователи загружали банковского трояна Win32.Bolik.2, а также стилера Trojan.PWS.Stealer (KPOT Stealer).
Исследователи пишут, что впервые неизвестные злоумышленники получили доступ к административной части сайта VSDC еще в 2018 году, после чего подменили ссылки на скачивание файлов. Вместо редактора пользователи загружали jаvascript-файл, который затем загружал в систему жертвы AZORult Stealer, X-Key Keylogger и DarkVNC backdoor. Компания VSDC сообщила о закрытии этой уязвимости, однако недавно специалистам стало известно о других случаях заражения.
По данным «Доктор Веб», с момента последнего заражения компьютер разработчика VSDC был скомпрометирован еще несколько раз. Один из взломов привел к компрометации сайта в период с 21 февраля 2019 года по 23 марта 2019 года.
На этот раз хакеры использовали другой метод распространения вредоносного ПО: на сайт VSDC они встроили вредоносный jаvascript-код. Его задача заключалась в определении геолокации посетителей и замене ссылки на скачивание для пользователей из Великобритании, США, Канады и Австралии. Вместо стандартных ссылок VSDC использовались ссылки на другой скомпрометированный ресурс:
- https://thedoctorwithin[.]com/video_editor_x64.exe
- https://thedoctorwithin[.]com/video_editor_x32.exe
- https://thedoctorwithin[.]com/video_converter.exe
Пользователи, загрузившие программу с этого ресурса, также скачивали банкер Win32.Bolik.2. Как и его аналог Win32.Bolik.1, эта малварь имеет свойства многокомпонентного полиморфного файлового вируса. Такие трояны предназначены для выполнения веб-инжектов, перехвата трафика, кейлоггинга и похищения информации из систем «банк-клиент» различных кредитных организаций.
В настоящий момент специалистам известно по меньшей мере о 565 случаях заражения этим трояном через сайт videosoftdev.com.
Кроме того, 22 марта 2019 года взломщики заменили Win32.Bolik.2 другой малварью – одним из вариантов Trojan.PWS.Stealer (KPOT Stealer). Этот троян похищает информацию из браузеров, аккаунта Microsoft, различных мессенджеров и других программ. За один день его загрузили на свои устройства 83 пользователя.
Разработчики VSDC уведомлены о компрометации сайта, и на данный момент ссылки на скачивание файлов восстановлены.
Перейти обратно к новости