Через сайт CNET распространяется малварь

Аналитики «Доктор Веб» обнаружили в каталоге сайта CNET (ежемесячная посещаемость 90 млн человек) вредоносную версию VSDC, популярной программы для обработки видео и звука. Вместо оригинальной программы посетители сайта получают измененный установщик с малварью, что позволяет злоумышленникам дистанционно управлять зараженными машинами.

Интересно, что в прошлом году исследователи уже обнаруживали компрометацию официального сайта VSDC. Тогда ссылки на скачивание редактора подменили, и вместе с программой пользователи загружали банковского трояна Win32.Bolik.2, а также стилера Trojan.PWS.Stealer (KPOT Stealer).

На этот раз злоумышленники распространяют вредоносный установщик VSDC с помощью каталога приложений download[.]cnet[.]com: на странице VSDC размещена поддельная ссылка на скачивание редактора.

Эта ссылка ведет на подконтрольный хакерам домен downloads[.]videosfotdev[.]com. Выборка пользователей-жертв осуществляется на основе их местоположения. Так, пользователи не интересующие злоумышленников, перенаправляются на настоящий сайт разработчика, а остальные — получают взломанный установщик с действительной цифровой подписью.

Механизм заражения реализован следующим образом. При запуске программы, помимо установки самого редактора, в директории %userappdata% создаются две папки. Одна из них содержит легитимный набор файлов утилиты для удаленного администрирования TeamViewer, а во вторую сохраняется троян-загрузчик, который скачивает из репозитория дополнительные вредоносные модули. Это библиотека семейства BackDoor.TeamViewer, позволяющая установить несанкционированное соединение с зараженным компьютером, а также скрипт для обхода встроенной антивирусной защиты Windows.

При помощи BackDoor.TeamViewer злоумышленники получают возможность доставлять на инфицированные устройства полезную нагрузку в виде вредоносных приложений. Среди них:

  • кейлоггер X-Key Keylogger;
  • стилер Predator The Thief;
  • прокси-троян SystemBC;
  • троян для удаленного управления по протоколу RDP.

Индикаторы компрометации доступы здесь.

Эксперты отмечают, что в одном из репозиториев также располагается поддельный установщик NordVPN. Он также несет в себе указанные вредоносные компоненты и имеет действительную цифровую подпись.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.