Захисти створене

Інші наші ресурси

  • free.dataprotection.com.ua — безкоштовні утиліти, під'єднувані модулі для браузерів, інформери
  • av-desk.com — інтернет-сервіс для постачальників послуг Dr.Web AV-Desk
  • curenet.dataprotection.com.ua — мережна лікувальна утиліта Dr.Web CureNet!
Закрити

Бібліотека
Моя бібліотека

+ Додати в бібліотеку

Ресурсів: -

Останній: -

Моя бібліотека

Підтримка
Цілодобова підтримка | Правила звернення

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86
Локальна технічна підтримка:
+380 (44) 224-41-60

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86
Локальна технічна підтримка:
+380 (44) 224-41-60

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

Назад к списку новостей

Злоумышленники используют сайт CNET для распространения зараженного установщика VSDC

6 февраля 2020 года

Вирусные аналитики компании «Доктор Веб» сообщают о компрометации ссылки на скачивание программы для обработки видео и звука VSDC в каталоге популярного сайта CNET. Вместо оригинальной программы посетители сайта получают измененный установщик с вредоносным содержимым, позволяющим злоумышленникам дистанционно управлять инфицированными компьютерами. Ежемесячная посещаемость ресурса составляет около 90 миллионов пользователей.

Ранее мы уже сообщали о компрометации официального сайта популярного бесплатного ПО для обработки видео и звука — VSDC. На этот раз злоумышленники распространяют вредоносный установщик программы с помощью каталога приложений download[.]cnet[.]com. На странице VSDC размещена поддельная ссылка на скачивание редактора.

#drweb

Скомпрометированная ссылка ведет на подконтрольный хакерам домен downloads[.]videosfotdev[.]com. Выборка пользователей осуществляется на основе геолокации. Нецелевые пользователи перенаправляются на подлинный сайт разработчика, остальные — получают взломанный установщик с действительной цифровой подписью.

Механизм заражения реализован следующим образом. При запуске программы, помимо установки самого редактора, в директории %userappdata% создаются две папки. Одна из них содержит легитимный набор файлов утилиты для удаленного администрирования TeamViewer, а во вторую сохраняется троян-загрузчик, который скачивает из репозитория дополнительные вредоносные модули. Это библиотека семейства BackDoor.TeamViewer, позволяющая установить несанкционированное соединение с зараженным компьютером, и скрипт для обхода встроенной антивирусной защиты OC Windows.

С помощью BackDoor.TeamViewer злоумышленники получают возможность доставлять на инфицированные устройства полезную нагрузку в виде вредоносных приложений. Среди них:

  • кейлоггер X-Key Keylogger,
  • стилер Predator The Thief,
  • прокси-троян SystemBC,
  • троян для удаленного управления по протоколу RDP.

Стоит заметить, что в одном из репозиториев располагается поддельный установщик NordVPN. Он также несет в себе указанные вредоносные компоненты и имеет валидную цифровую подпись.

Все упомянутые угрозы успешно детектируются продуктами Dr.Web.

Специалисты «Доктор Веб» рекомендуют всем пользователям продуктов VSDC проверить свои устройства с помощью нашего антивируса.

Индикаторы компрометации

Нам важно Ваше мнение

Комментарии размещаются после проверки модератором. За каждый содержательный комментарий начисляется 1 Dr.Web-ка. Чтобы задать вопрос по новости администрации сайта, укажите в начале своего комментария @admin. Если ваш вопрос к автору одного из комментариев — поставьте перед его именем @


Другие комментарии

Російський розробник антивірусів Dr.Web

Досвід розробки з 1992 року

Dr.Web користуються в 200+ країнах світу

Більше 71% доходу компанії — продажі бізнес-клієнтам

Цілодобова підтримка російською мовою