VSDC视频编辑网站再次被黑客传播银行特洛伊木马

xiannv  2013天前

Malware.jpg

免费多媒体编辑VSDC的网站再次被黑客入侵,这次下载链接被用来散布银行特洛伊木马和窃取信息。

根据发现入侵的Doctor Web研究人员的说法,黑客“劫持了网站上的下载链接,导致访问者下载一个危险的银行木马,Win32.Bolik.2和Trojan.PWS.Stealer(KPOT窃取器)以及编辑软件。”

VSDC的网站每月约有1,300万用户,考虑到潜在受害者的数量,使这一事件变得更加严重。

vsdc.png

VSDC网站

更糟糕的是,这并不是VSDC网站第一次被入侵,中国安全公司奇虎360安全公司于2018年7月发现,恶意行为者于6月18日,7月2日和7月6日入侵了该网站的管理端。

在那次事件中,攻击者还切换了合法的下载链接,将访问者重定向到ja vasc ript文件,这些文件删除了受害者电脑上的“AZORult Stealer、X-Key Keylogger和DarkVNC后门”。根据Doctor Web的恶意软件分析师Ivan Korolev当时的报告。

虽然VSDC团队报告称允许黑客攻击他们网站的漏洞已经修复,但Doctor Web的研究人员发现这种情况又发生了好几次

SDC网站再次被入侵。这次事件持续了一个月,并散布了具有文件感染能力的Win32.Bolik银行木马。在最后一天,Bolik被KPOT窃取器卡住了。

报告:https://news.drweb.com/show/?i=13242&c=23&lng=en&p=0

IoC:https://github.com/DoctorWebLtd/malware-iocs/tree/master/VSDC

——Ivan Korolev's Tweets

由Doctor Web研究团队详细说明:

根据我们的研究人员的说法,VSDC开发人员的计算机自上一次事件以来已多次遭到入侵。其中一次黑客攻击导致该网站在2019-02-21和2019-03-23之间再次遭到入侵。这次黑客采用了一种不同的方法来传播恶意软件:他们在VSDC网站中嵌入了恶意ja vasc ript代码。其任务是确定访问者的地理位置,并替换来自英国,美国,加拿大和澳大利亚的用户的下载链接。原生网站链接被另一个被入侵网站的链接所取代:

  • HTTPS:// thedoctorwithin[.] COM/video_editor_x64.exe
  • HTTPS:// thedoctorwithin[.] COM/video_editor_x32.exe
  • HTTPS:// thedoctorwithin[.] COM/video_converter.exe

下载并启动受感染的VSDC视频编辑器和视频转换器的访问者的计算机可能感染了一个多组件多态银行木马,该木马被Doctor Web标记为Win32.Bolik.2和一个KPOT Stealer Trojan变种木马。

银行特洛伊木马旨在“执行web注入,流量拦截,密钥记录和窃取来自不同银行--客户端系统的信息”,而KPOT信息窃取程序将“从浏览器,微软账户,若干传送信息的程序和其他一些程序中窃取信息”。

据Doctor Web团队透露,至少有565名用户的计算机被Win32.Bolik.2银行木马感染,而另外83名用户下载的VSDC软件感染了KPOT窃取器。

“VSDC开发人员被告知了这一威胁;目前,下载链接已恢复到原来的版本,”Doctor Web说。

BleepingComputer已与VSDC团队联系以获取更多详细信息,但在发布之前未收到答复。


更新:2019年4月11日16:21美国东部时间: VSDC发言人回复我们,声明如下:

In the past few months, the popularity of our video editing software has increased, and as our technical team reports, so has the activity of malicious actors willing to take advantage of our website traffic. 

Even with a fully-functioning security system guarding our website, we can confirm that it was shortly affected by the attack during the indicated period of time, and unlike the previous case mentioned in your article, the hackers had taken a new approach. 

The administrative side of the website and the program files were not affected. Meanwhile, the possible  security vulnerability was detected and patched.

This time we have resorted to an innovative protection algorithm to prevent the attacks of similar nature in the future, yet, amid safety concerns, we aren't able to disclose the details. 
        
At this moment, all of our website visitors and software users have no reasons to be worried.

翻译如下:

在过去的几个月里,我们的视频编辑软件越来越受欢迎,正如我们的技术团队所报告的,恶意的人利用我们网站流量的行为也越来越多。

即使有一个功能齐全的安全系统保护我们的网站,我们也可以确认,它在一定的时间内很快受到了攻击的影响,而且与您文章中提到的前一个案例不同,黑客采取了一种新的方法。

网站的管理端和程序文件不受影响。同时,对可能存在的安全漏洞进行了检测和修补。

这一次我们采用了一种创新的保护算法来防止未来类似性质的攻击,但出于安全考虑,我们无法透露细节。

此时此刻,我们所有的网站访问者和软件用户都不需要担心。


本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://www.bleepingcomputer.com/news/security/vsdc-site-hacked-again-to-spread-password-stealing-malware/

最新评论

昵称
邮箱
提交评论