Hackare kapade officiella webbplats VSDC för att distribuera skadlig programvara

Computer Security News

Qihoo 360 totala säkerhetsexperter rapporterade att cyberbrottslingar används den officiella webbplatsen för VSDC (http://www.videosoftdev.com) för att distribuera skadlig programvara.

Enligt forskarna hackare har kapat nedladdningslänkar på webbplatsen VSDC i tre olika perioder, pekar på servrar de var verksamma.

Cyberkriminella tog kontroll över administrativa serverdelen av webbplatsen och ersatte länkar till filen distribution av programmet.

De säkerhet forskarna har också funnit att attackerna var registrerade från en IP-adress i Litauen – 185 [.] 25.51.133.

”360 security Center upptäckte den data överför golfbanan av en berömda audio och video editor, VSDC (http://www.videosoftdev.com), har kapats i webbplats. Datorn kommer att injiceras av stöld Trojan, keylogger och fjärrkontroll Trojan efter programmet hämtas och installeras ”. Qihoo 360 Total säkerhet analys staterna.

Detaljerna i de tre olika attackerna är:

  • 18 juni – Hämta hackare ersatt länkar med hxxp://5.79.100 .218/_files/file.php
  • 2 juli – Hämta hackare ersatt länkar med hxxp://drbillbailey .us/tw/file.php
  • 6 juli – Hämta hackare ersatt länkar med hxxp://drbillbailey .us/tw/file.php

Redigeraren för ljud och video VSDC bekräftade incidenten och lyckats fixa länkar på sin webbplats.

Den första och tredje perioder påverkas de flesta användare som var infekterade med tre olika bitar av malware.

Vad de VSDC användare fått var en JavaScript-fil som förklädd VSDC programvara fungerar som en downloader för ett PowerShell-skript, som i sin tur, skulle hämta tre skadlig nyttolaster, en infostealer, en keylogger och en fjärrkontroll åt trojan (råtta).

Det är den infostealer som kapar känslig information såsom Telegram konto/lösenord, lösenord Steam account/, Skype chatt logg, Electrum plånbok och skärmdump från offrens datorer. Sedan skickas data tillbaka till hxxp://system-check .xyz/index.php.

Alla tangentbordsåtgärder registreras av keylogger och skickas till hxxp://wqaz .site/log/index.php.

Den tredje filen är en dold VNC avlägsen kontroll trojan som hackare kan använda för att styra den infektera datorn. Enligt forskarna är den tredje filen en version av en mindre känd råtta som heter DarkVNC.


Leave a Reply

Your email address will not be published. Required fields are marked *