Хакери викрали офіційний сайт VSDC для розповсюдження зловмисних програм
Computer Security NewsQihoo 360 загальної безпеки експерти повідомили, що кібер-злочинці використовували офіційний сайт VSDC (http://www.videosoftdev.com) для розповсюдження зловмисних програм.
На думку дослідників хакери захопили завантажити посилання на веб-сайті VSDC у трьох різних періодів, вказують на сервери вони діяли.
Кібер-злочинців взяли під контроль адміністративних серверна частина сайту і замінили посилання на файл розповсюдження програми.
Безпеки дослідники також виявили, що теракти були зареєстровані з IP-адреси в Литві-185 [.] 25.51.133.
“360 Центр безпеки виявив посилання для скачування знаменитий аудіо і відео-редактор, VSDC (http://www.videosoftdev.com), був викрадений в офіційного сайту. Комп’ютер буде виведено за викрадення трояном, клавіатурних шпигунів і дистанційного керування Троян після того, як програма завантажено та встановлено.” аналіз Штатів Qihoo 360 загальної безпеки.
Подробиці три різних атак:
- 18 червня — хакери підставляв завантажити посилання з hxxp://5.79.100 .218/_files/file.php
- 2 липня – хакери підставляв завантажити посилання з hxxp://drbillbailey .us/tw/file.php
- 6 липня — хакери підставляв завантажити посилання з hxxp://drbillbailey .us/tw/file.php
Аудіо та відео редактор VSDC підтвердив інцидент і вдалося це виправити посилання на своєму сайті.
Другий та третій періоди постраждали більшість користувачів, які були інфіковані з трьома різними шкідливих програм.
VSDC користувачі отримали був файл JavaScript, що під виглядом VSDC програмного забезпечення, діючи як завантажувач для сценаріїв PowerShell, який, у свою чергу, буде три зловмисних payloads завантаження, послугами infostealer, кейлоггер і remote доступ Троян (КРИСА).
Це infostealer, що захоплює конфіденційну інформацію, таку як Телеграма обліковий запис /password, парова account/ пароль, Skype журнал чатів, Електрові гаманець і скріншот з потерпілих комп’ютерів. Потім дані відправляється назад hxxp://system-check .xyz/index.php.
Всі клавіатурні скорочення для дій, зареєстрованих кейлоггер і послав до hxxp://wqaz .site/log/index.php.
Третій файл є приховані VNC віддаленого керування Троян яких Хакери можуть використовувати для управління зараженій машині. На думку дослідників третій файл — це версія меншою відомих ПАЦЮКИ під назвою DarkVNC.