DOBERMANN
Гай Ричи
MrLoot
Frank Vinci
atmservice
probiv

СМИ Через сайт CNET распространяется малварь

YandexPoisk

Заблокирован
Заблокирован
Проверенный продавец

YandexPoisk

Заблокирован
Заблокирован
Проверенный продавец
Статус
Offline
Регистрация
16 Авг 2018
Сообщения
345
Реакции
6
Покупки через Гарант
0
Продажи через Гарант
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Аналитики «Доктор Веб» обнаружили в каталоге сайта CNET (ежемесячная посещаемость 90 млн человек) вредоносную версию VSDC, популярной программы для обработки видео и звука. Вместо оригинальной программы посетители сайта получают измененный установщик с малварью, что позволяет злоумышленникам дистанционно управлять зараженными машинами.
Интересно, что в прошлом году исследователи уже обнаруживали компрометацию официального сайта VSDC. Тогда ссылки на скачивание редактора подменили, и вместе с программой пользователи загружали банковского трояна Win32.Bolik.2, а также стилера Trojan.PWS.Stealer (KPOT Stealer).
На этот раз злоумышленники распространяют вредоносный установщик VSDC с помощью каталога приложений download[.]cnet[.]com: на странице VSDC размещена поддельная ссылка на скачивание редактора.
Эта ссылка ведет на подконтрольный хакерам домен downloads[.]videosfotdev[.]com. Выборка пользователей-жертв осуществляется на основе их местоположения. Так, пользователи не интересующие злоумышленников, перенаправляются на настоящий сайт разработчика, а остальные — получают взломанный установщик с действительной цифровой подписью.
Механизм заражения реализован следующим образом. При запуске программы, помимо установки самого редактора, в директории %userappdata% создаются две папки. Одна из них содержит легитимный набор файлов утилиты для удаленного администрирования TeamViewer, а во вторую сохраняется троян-загрузчик, который скачивает из репозитория дополнительные вредоносные модули. Это библиотека семейства BackDoor.TeamViewer, позволяющая установить несанкционированное соединение с зараженным компьютером, а также скрипт для обхода встроенной антивирусной защиты Windows.
При помощи BackDoor.TeamViewer злоумышленники получают возможность доставлять на инфицированные устройства полезную нагрузку в виде вредоносных приложений. Среди них:
  • кейлоггер X-Key Keylogger;
  • стилер Predator The Thief;
  • прокси-троян SystemBC;
  • троян для удаленного управления по протоколу RDP.
Эксперты отмечают, что в одном из репозиториев также располагается поддельный установщик NordVPN. Он также несет в себе указанные вредоносные компоненты и имеет действительную цифровую подпись.
 
Сверху