11 aprile 2019

I ricercatori del laboratorio Doctor Web hanno scoperto che il sito ufficiale del popolare programma di elaborazione video e audio VSDC era stato compromesso. Gli hacker hanno sostituito il link di download, e insieme all'editor, gli utenti scaricavano il pericoloso trojan banker Win32.Bolik.2, nonché il trojan per il furto di password Trojan.PWS.Stealer (KPOT Stealer).

VSDC – popolare software gratuito per l'elaborazione video e audio. Secondo i dati SimilarWeb, l'affluenza mensile sul sito ufficiale da cui questo editor può essere scaricato è di circa 1,3 milioni di utenti. Tuttavia, le misure di sicurezza adottate dai proprietari della risorsa spesso si rivelano insufficienti per un sito con tale numero di visite, il che mette a rischio molteplici utenti.

L'anno scorso hacker sconosciuti hanno avuto accesso alla parte amministrativa del sito VSDC e hanno sostituito i link di download file. Invece dell'editor video, gli utenti scaricavano un file JavaScript il quale quindi scaricava AZORult Stealer, X-Key Keylogger e DarkVNC backdoor. L'azienda VSDC ha comunicato che la vulnerabilità era stata coperta, ma recentemente siamo venuti a conoscenza di altri casi di infezione.

Secondo i dati dei nostri specialisti, dall'ultima infezione il computer dello sviluppatore VSDC è stato compromesso diverse volte. Uno degli attacchi ha portato alla compromissione del sito nel periodo dal 21.02.2019 al 23.03.2019. Questa volta gli hacker hanno utilizzato un altro metodo di distribuzione malware: hanno incorporato nel sito VSDC un codice JavaScript malevolo. Il suo compito era quello di determinare la geolocalizzazione dei visitatori del sito e di sostituire il link di download per gli utenti dal Regno Unito, Stati Uniti, Canada e Australia. Invece dei link VSDC standard, venivano utilizzati link di un'altra risorsa compromessa:

• https://thedoctorwithin[.]com/video_editor_x64.exe
• https://thedoctorwithin[.]com/video_editor_x32.exe
• https://thedoctorwithin[.]com/video_converter.exe

Gli utenti che hanno scaricato il software da questa risorsa hanno preso anche un pericoloso trojan banker – Win32.Bolik.2. Come la versione simile Win32.Bolik.1, questo software malevolo ha le proprietà di un virus di file polimorfo multicomponente. Simili trojan sono progettati per il code injection, l'intercettazione del traffico, il keylogging e il furto di informazioni dai sistemi di home banking di varie organizzazioni creditizie. Al momento sappiamo di almeno 565 casi di infezione da questo trojan attraverso il sito videosoftdev.com. Va notato che finora solo i prodotti Dr.Web rilevano con successo tutti i file del trojan.

Oltre a ciò, il 22.03.2019 gli hacker hanno sostituito Win32.Bolik.2 con un altro software malevolo – una versione di Trojan.PWS.Stealer (KPOT Stealer). Questo trojan ruba informazioni dai browser, dall'account Microsoft, da vari programmi di messaggistica e altri software. Durante un giorno è stato scaricato sui dispositivi di 83 utenti.

La compromissione del sito è stata segnalata agli sviluppatori VSDC, e al momento i link di download file sono stati ripristinati. Ciononostante, gli specialisti Doctor Web raccomandano a tutti gli utenti dei prodotti VSDC di eseguire un controllo dei loro dispositivi tramite il nostro antivirus.

Indicatori di compromissione

#banker #trojan_banker #virus