Tin tặc tấn công các trang web chính thức của VSDC để phân phối phần mềm độc hại

Computer Security News

Chuyên gia bảo mật tổng số 360 Qihoo báo cáo rằng bọn tội phạm mạng sử dụng các trang web chính thức của VSDC (http://www.videosoftdev.com) để phân phối phần mềm độc hại.

Theo các nhà nghiên cứu, hacker đã tấn công liên kết tải về trên trang web của VSDC ở ba thời kỳ khác nhau, họ chỉ đến các máy chủ đã hoạt động.

Tội phạm mạng nắm quyền kiểm soát của quản trị máy chủ phần của trang web và thay thế các liên kết đến tập tin phân phối chương trình.

Các nhà nghiên cứu an ninh cũng đã tìm thấy rằng các cuộc tấn công đã đăng ký từ một địa chỉ IP trong Lithuania-185 [.] 25.51.133.

“360 Trung tâm bảo mật đã phát hiện ra các liên kết tải về của một âm thanh nổi tiếng và biên tập video, VSDC (http://www.videosoftdev.com), đã bị tấn công trong trang web chính thức của . Máy tính sẽ được tiêm bởi hành vi trộm cắp Trojan, keylogger và điều khiển từ xa Trojan sau khi chương trình được tải xuống và cài đặt.” kỳ phân tích Qihoo 360 tất cả bảo mật.

Các chi tiết của ba đợt tấn công khác nhau:

  • 18 tháng 6-hacker thay thế liên kết tải xuống với hxxp://5.79.100 .218/_files/file.php
  • 2 tháng 7-hacker thay thế liên kết tải xuống với hxxp://drbillbailey .us/tw/file.php
  • 6 tháng 7: tin tặc thay thế liên kết tải xuống với hxxp://drbillbailey .us/tw/file.php

Trình biên tập âm thanh và video VSDC đã xác nhận vụ việc và quản lý để sửa chữa các liên kết trên trang web của mình.

Các giai đoạn đầu tiên và thứ ba ảnh hưởng hầu hết người dùng bị nhiễm với ba phần khác nhau của phần mềm độc hại.

Là cái gì những người sử dụng VSDC đã nhận được một tập tin JavaScript cải trang như là VSDC phần mềm đóng vai trò là một downloader cho một script PowerShell, trong đó, lần lượt, sẽ tải về dữ liệu độc hại ba, một infostealer, một keylogger và một từ xa truy cập trojan (RAT).

Đó là infostealer chiếm đoạt điều khiển các thông tin nhạy cảm chẳng hạn như điện tín tài khoản /password, hơi account/ mật khẩu, đăng nhập chat Skype, Electrum wallet và ảnh chụp màn hình từ máy tính của nạn nhân. Sau đó, các dữ liệu được gửi trở lại hxxp://system-check .xyz/index.php.

Tất cả bàn phím hành động được ghi lại bởi các keylogger và gửi đến hxxp://wqaz .site/log/index.php.

Tập thứ ba là một từ xa VNC ẩn kiểm soát trojan mà tin tặc có thể sử dụng để kiểm soát các máy bị nhiễm bệnh. Theo các nhà nghiên cứu, tập thứ ba là một phiên bản của một con chuột thấp hơn được biết đến gọi là DarkVNC.


Leave a Reply

Your email address will not be published. Required fields are marked *