Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Back to news

Malintenzionati utilizzano il sito CNET per diffondere un installer infetto VSDC

6 febbraio 2020

Gli analisti di virus Doctor Web segnalano un link compromesso per il download del programma di elaborazione video e audio VSDC nello store del popolare sito CNET. Invece del programma originale, i visitatori del sito ottengono un installer modificato con contenuti malevoli che permettono ai malintenzionati di controllare da remoto i computer infettati. Il numero di visite mensile della risorsa è di circa 90 milioni di utenti.

In precedenza abbiamo già segnalato la compromissione del sito ufficiale di VSDC, popolare software per l'elaborazione video e audio. Questa volta i malintenzionati diffondono un installer malevolo del programma attraverso lo store delle applicazioni download[.]cnet[.]com. Sulla pagina VSDC è collocato un falso link di download dell'editor.

#drweb

Il link compromesso conduce al dominio controllato dagli hacker downloads[.]videosfotdev[.]com. Gli utenti bersaglio vengono selezionati in base alla geolocalizzazione. Gli utenti non corrispondenti ai criteri di selezione vengono reindirizzati sul sito dello sviluppatore originale, gli altri invece ricevono un installer hackerato con una firma digitale valida.

Il meccanismo di infezione è implementato nel seguente modo. All'avvio del programma, oltre all'installazione dell'editor stesso, vengono create due cartelle nella directory %userappdata%. Una di esse contiene il set di file legittimo dell'utility di amministrazione remota TeamViewer, mentre nella seconda viene salvato un trojan downloader che scarica da repository ulteriori moduli malevoli. Sono una libreria della famiglia BackDoor.TeamViewer che permette di stabilire una connessione non autorizzata con il computer infetto e uno script studiato per raggirare la protezione antivirus incorporata del sistema operativo Windows.

Utilizzando BackDoor.TeamViewer, i malintenzionati hanno la possibilità di consegnare sui dispositivi infetti un payload (carico utile) sotto forma di applicazioni malevole. Tra cui:

  • programma per l'intercettazione delle battiture sulla tastiera X-Key Keylogger,
  • programma per il furto di informazioni (stealer) Predator The Thief,
  • trojan proxy SystemBC,
  • trojan per il controllo remoto tramite il protocollo RDP.

Dobbiamo notare che in uno dei repository è collocato un falso installer di NordVPN. Anch'esso contiene i componenti malevoli indicati sopra e ha una firma digitale valida.

Tutte le minacce menzionate vengono rilevate con successo dai prodotti Dr.Web.

Gli specialisti Doctor Web raccomandano a tutti gli utenti dei prodotti VSDC di eseguire una scansione dei loro dispositivi tramite il nostro antivirus.

Indicatori di compromissione

La tua opinione conta per noi

Per ogni commento viene accreditato 1 punto Dr.Web. Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti

Sviluppatore russo degli antivirus Dr.Web
Esperienza di sviluppo dal 1992
Dr.Web viene utilizzato in 200+ paesi del mondo
L'antivirus viene fornito come un servizio dal 2007
Supporto ventiquattro ore su ventiquattro

Dr.Web © Doctor Web
2003 — 2020

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125124, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A