______________________________________________________________________________________________________________

HackFix.ru - информационный портал,рассказывающий о событиях в области защиты информации,
взломах,инструментах аудита,программировании для пентестеров!

Мошенники распространяли троян через официальный сайт VSDC

Официальный сайт VSDC раздавал видеоредактор с вредоносным программным обеспечением. Об этом сообщили специалисты по информационной безопасности из Китая. Киберпреступники подменили ссылки на скачивание дистрибутива и загружали на компьютер жертвы три скрипта для кражи паролей и удаленного управления устройством.

Впервые сайт разработчика был взломан 18 июня этого года. Вместо легитимной ссылки на скачивание дистрибутива он направлял посетителя на страницу, контролируемую мошенниками. Позднее нападавшие еще дважды вмешивались в работу веб-ресурса компании, изменив переадресацию 2 и 6 июля.

Во всех случаях вместо оригинального исполняемого файла на компьютер жертвы скачивался вредоносный скрипт, замаскированный под установщик видеоредактора. Он загружал на устройство макрос PowerShell, который доставлял полезную нагрузку — многофункциональный троян, кейлоггер и программу удаленного управления системой. Все скрипты были обфусицированы, чтобы затруднить их обнаружение антивирусными продуктами.

Загружаемый троян был нацелен на кражу паролей от аккаунтов в Telegram и Steam. Программа также получала доступ к переписке в Skype, похищала данные криптовалютного кошелька Electrum и делала скриншоты рабочего стола жертвы. Все данные зловред отправлял на принадлежащий киберпреступникам сервер.

При помощи кейлоггера атакующие перехватывали данные о работе пользователя с клавиатурой. Еще один вредонос предназначался для удаленного управления зараженным компьютером. По мнению экспертов, это был один из вариантов шпиона TVRAT, нацеленного на похищение банковской информации.

Представители VSDC подтвердили факт взлома и сообщили, что в данный момент контроль над сайтом восстановлен, а все вредоносные ссылки удалены.

“К сожалению, мы подверглись хакерской атаке. В данный момент она остановлена и все обнаруженные уязвимости закрыты”, — заявил Александр Галкин, менеджер проектов VSDC.

Разработчики видеоредактора приняли дополнительные меры безопасности, чтобы исключить подобные инциденты в будущем. Они сменили пароли доступа к серверу на более длинные, включили механизм двухфакторной аутентификации и запустили службу проверки целостности дистрибутивов. Как указали создатели программы, атака была произведена с IP-адреса, зарегистрированного в Литве.

Это не первый случай подмены легитимных дистрибутивов. Не так давно стало известно, что злоумышленники вскрыли GitHub-аккаунт создателей криптовалюты Syscoin. Нападавшие заменили дистрибутив официального кошелька проекта на модифицированную версию, содержавшую вредоносный код.

Добавить комментарий

Ваш e-mail не будет опубликован.

______________________________________________________________________________________________________________
^ Наверх