Аналитики «Доктор Веб» обнаружили в каталоге сайта CNET (ежемесячная посещаемость 90 млн человек) вредоносную версию VSDC, популярной программы для обработки видео и звука. Вместо оригинальной программы посетители сайта получают измененный установщик с малварью, что позволяет злоумышленникам дистанционно управлять зараженными машинами.
Интересно, что в прошлом году исследователи уже обнаруживали компрометацию официального сайта VSDC. Тогда ссылки на скачивание редактора подменили, и вместе с программой пользователи загружали банковского трояна Win32.Bolik.2, а также стилера Trojan.PWS.Stealer (KPOT Stealer).
На этот раз злоумышленники распространяют вредоносный установщик VSDC с помощью каталога приложений download[.]cnet[.]com: на странице VSDC размещена поддельная ссылка на скачивание редактора.
Эта ссылка ведет на подконтрольный хакерам домен downloads[.]videosfotdev[.]com. Выборка пользователей-жертв осуществляется на основе их местоположения. Так, пользователи не интересующие злоумышленников, перенаправляются на настоящий сайт разработчика, а остальные — получают взломанный установщик с действительной цифровой подписью.
Механизм заражения реализован следующим образом. При запуске программы, помимо установки самого редактора, в директории %userappdata% создаются две папки. Одна из них содержит легитимный набор файлов утилиты для удаленного администрирования TeamViewer, а во вторую сохраняется троян-загрузчик, который скачивает из репозитория дополнительные вредоносные модули. Это библиотека семейства BackDoor.TeamViewer, позволяющая установить несанкционированное соединение с зараженным компьютером, а также скрипт для обхода встроенной антивирусной защиты Windows.
При помощи BackDoor.TeamViewer злоумышленники получают возможность доставлять на инфицированные устройства полезную нагрузку в виде вредоносных приложений. Среди них:
- кейлоггер X-Key Keylogger;
- стилер Predator The Thief;
- прокси-троян SystemBC;
- троян для удаленного управления по протоколу RDP.
Индикаторы компрометации доступы здесь.
Эксперты отмечают, что в одном из репозиториев также располагается поддельный установщик NordVPN. Он также несет в себе указанные вредоносные компоненты и имеет действительную цифровую подпись.