6 febbraio 2020

Gli analisti di virus Doctor Web segnalano un link compromesso per il download del programma di elaborazione video e audio VSDC nello store del popolare sito CNET. Invece del programma originale, i visitatori del sito ottengono un installer modificato con contenuti malevoli che permettono ai malintenzionati di controllare da remoto i computer infettati. Il numero di visite mensile della risorsa è di circa 90 milioni di utenti.

In precedenza abbiamo già segnalato la compromissione del sito ufficiale di VSDC, popolare software per l'elaborazione video e audio. Questa volta i malintenzionati diffondono un installer malevolo del programma attraverso lo store delle applicazioni download[.]cnet[.]com. Sulla pagina VSDC è collocato un falso link di download dell'editor.

Il link compromesso conduce al dominio controllato dagli hacker downloads[.]videosfotdev[.]com. Gli utenti bersaglio vengono selezionati in base alla geolocalizzazione. Gli utenti non corrispondenti ai criteri di selezione vengono reindirizzati sul sito dello sviluppatore originale, gli altri invece ricevono un installer hackerato con una firma digitale valida.

Il meccanismo di infezione è implementato nel seguente modo. All'avvio del programma, oltre all'installazione dell'editor stesso, vengono create due cartelle nella directory %userappdata%. Una di esse contiene il set di file legittimo dell'utility di amministrazione remota TeamViewer, mentre nella seconda viene salvato un trojan downloader che scarica da repository ulteriori moduli malevoli. Sono una libreria della famiglia BackDoor.TeamViewer che permette di stabilire una connessione non autorizzata con il computer infetto e uno script studiato per raggirare la protezione antivirus incorporata del sistema operativo Windows.

Utilizzando BackDoor.TeamViewer, i malintenzionati hanno la possibilità di consegnare sui dispositivi infetti un payload (carico utile) sotto forma di applicazioni malevole. Tra cui:

• programma per l'intercettazione delle battiture sulla tastiera X-Key Keylogger,
• programma per il furto di informazioni (stealer) Predator The Thief,
• trojan proxy SystemBC,
• trojan per il controllo remoto tramite il protocollo RDP.

Dobbiamo notare che in uno dei repository è collocato un falso installer di NordVPN. Anch'esso contiene i componenti malevoli indicati sopra e ha una firma digitale valida.

Tutte le minacce menzionate vengono rilevate con successo dai prodotti Dr.Web.

Gli specialisti Doctor Web raccomandano a tutti gli utenti dei prodotti VSDC di eseguire una scansione dei loro dispositivi tramite il nostro antivirus.

Indicatori di compromissione