Хакери викрали офіційний сайт VSDC для розповсюдження зловмисних програм

Computer Security News

Qihoo 360 загальної безпеки експерти повідомили, що кібер-злочинці використовували офіційний сайт VSDC (http://www.videosoftdev.com) для розповсюдження зловмисних програм.

На думку дослідників хакери захопили завантажити посилання на веб-сайті VSDC у трьох різних періодів, вказують на сервери вони діяли.

Кібер-злочинців взяли під контроль адміністративних серверна частина сайту і замінили посилання на файл розповсюдження програми.

Безпеки дослідники також виявили, що теракти були зареєстровані з IP-адреси в Литві-185 [.] 25.51.133.

“360 Центр безпеки виявив посилання для скачування знаменитий аудіо і відео-редактор, VSDC (http://www.videosoftdev.com), був викрадений в офіційного сайту. Комп’ютер буде виведено за викрадення трояном, клавіатурних шпигунів і дистанційного керування Троян після того, як програма завантажено та встановлено.” аналіз Штатів Qihoo 360 загальної безпеки.

Подробиці три різних атак:

  • 18 червня — хакери підставляв завантажити посилання з hxxp://5.79.100 .218/_files/file.php
  • 2 липня – хакери підставляв завантажити посилання з hxxp://drbillbailey .us/tw/file.php
  • 6 липня — хакери підставляв завантажити посилання з hxxp://drbillbailey .us/tw/file.php

Аудіо та відео редактор VSDC підтвердив інцидент і вдалося це виправити посилання на своєму сайті.

Другий та третій періоди постраждали більшість користувачів, які були інфіковані з трьома різними шкідливих програм.

VSDC користувачі отримали був файл JavaScript, що під виглядом VSDC програмного забезпечення, діючи як завантажувач для сценаріїв PowerShell, який, у свою чергу, буде три зловмисних payloads завантаження, послугами infostealer, кейлоггер і remote доступ Троян (КРИСА).

Це infostealer, що захоплює конфіденційну інформацію, таку як Телеграма обліковий запис /password, парова account/ пароль, Skype журнал чатів, Електрові гаманець і скріншот з потерпілих комп’ютерів. Потім дані відправляється назад hxxp://system-check .xyz/index.php.

Всі клавіатурні скорочення для дій, зареєстрованих кейлоггер і послав до hxxp://wqaz .site/log/index.php.

Третій файл є приховані VNC віддаленого керування Троян яких Хакери можуть використовувати для управління зараженій машині. На думку дослідників третій файл — це версія меншою відомих ПАЦЮКИ під назвою DarkVNC.


Leave a Reply

Your email address will not be published. Required fields are marked *