Хакер #305. Многошаговые SQL-инъекции
Эксперты «Доктор Веб» предупредили о компрометации официального сайта VSDC, популярной программы для обработки видео и звука. По данным SimilarWeb, ежемесячная посещаемость сайта составляет около 1,3 миллиона пользователей. Ссылки на скачивание редактора подменили, и вместе с программой пользователи загружали банковского трояна Win32.Bolik.2, а также стилера Trojan.PWS.Stealer (KPOT Stealer).
Исследователи пишут, что впервые неизвестные злоумышленники получили доступ к административной части сайта VSDC еще в 2018 году, после чего подменили ссылки на скачивание файлов. Вместо редактора пользователи загружали JavaScript-файл, который затем загружал в систему жертвы AZORult Stealer, X-Key Keylogger и DarkVNC backdoor. Компания VSDC сообщила о закрытии этой уязвимости, однако недавно специалистам стало известно о других случаях заражения.
По данным «Доктор Веб», с момента последнего заражения компьютер разработчика VSDC был скомпрометирован еще несколько раз. Один из взломов привел к компрометации сайта в период с 21 февраля 2019 года по 23 марта 2019 года.
На этот раз хакеры использовали другой метод распространения вредоносного ПО: на сайт VSDC они встроили вредоносный JavaScript-код. Его задача заключалась в определении геолокации посетителей и замене ссылки на скачивание для пользователей из Великобритании, США, Канады и Австралии. Вместо стандартных ссылок VSDC использовались ссылки на другой скомпрометированный ресурс:
- https://thedoctorwithin[.]com/video_editor_x64.exe
- https://thedoctorwithin[.]com/video_editor_x32.exe
- https://thedoctorwithin[.]com/video_converter.exe
Пользователи, загрузившие программу с этого ресурса, также скачивали банкер Win32.Bolik.2. Как и его аналог Win32.Bolik.1, эта малварь имеет свойства многокомпонентного полиморфного файлового вируса. Такие трояны предназначены для выполнения веб-инжектов, перехвата трафика, кейлоггинга и похищения информации из систем «банк-клиент» различных кредитных организаций.
В настоящий момент специалистам известно по меньшей мере о 565 случаях заражения этим трояном через сайт videosoftdev.com.
Кроме того, 22 марта 2019 года взломщики заменили Win32.Bolik.2 другой малварью – одним из вариантов Trojan.PWS.Stealer (KPOT Stealer). Этот троян похищает информацию из браузеров, аккаунта Microsoft, различных мессенджеров и других программ. За один день его загрузили на свои устройства 83 пользователя.
Разработчики VSDC уведомлены о компрометации сайта, и на данный момент ссылки на скачивание файлов восстановлены.