Dirampas penggodam Laman web rasmi VSDC untuk mengedarkan perisian berniat jahat

Computer Security News

Pakar Keselamatan jumlah 360 Qihoo melaporkan bahawa penjenayah siber menggunakan laman web rasmi VSDC (http://www.videosoftdev.com) untuk mengedarkan perisian berniat jahat.

Menurut para penyelidik, penggodam telah dirampas pautan muat turun di laman web VSDC di tiga tempoh yang berbeza, menunjuk kepada pelayan mereka telah beroperasi.

Penjenayah siber mengambil kawalan Bahagian Pentadbiran pelayan Laman web dan menggantikan pautan kepada pengedaran fail program.

Keselamatan para penyelidik juga telah mendapati bahawa serangan telah didaftarkan dari alamat IP di Lithuania – 185 [.] 25.51.133.

“Pusat Keselamatan 360 menemui pautan muat turun audio yang terkenal dan editor video, VSDC (http://www.videosoftdev.com), telah dirampas di Laman web rasmi . Komputer akan disuntik oleh kecurian Trojan, keylogger dan Trojan selepas atur cara itu dimuat turun dan dipasang alat kawalan jauh.” Syarikat analisis Qihoo 360 jumlah sekuriti.

Butir-butir serangan berbeza tiga adalah:

  • 18 Jun – penggodam digantikan download link dengan hxxp://5.79.100 .218/_files/file.php
  • 2 Julai-penggodam digantikan download link dengan hxxp://drbillbailey .us/tw/file.php
  • 6 Julai-penggodam digantikan download link dengan hxxp://drbillbailey .us/tw/file.php

Media audio dan video VSDC mengesahkan kejadian itu dan berjaya menetapkan pautan di laman webnya.

Tempoh pertama dan ketiga terjejas kebanyakan pengguna yang telah dijangkiti dengan tiga keping perisian berniat jahat yang berbeza.

Apa pengguna VSDC yang diterima adalah satu fail JavaScript yang menyamar sebagai perisian VSDC bertindak sebagai sebuah downloader bagi skrip PowerShell, yang pada gilirannya, akan payloads jahat tiga download, infostealer satu, keylogger, dan remote mengakses trojan (TIKUS).

Memang infostealer yang hijacks maklumat sensitif seperti Telegram akaun /password, wap account/ password, Skype chat log, Electrum dompet dan screenshot daripada komputer mangsa. Kemudian, data akan dihantar balik kepada hxxp://system-check .xyz/index.php.

Semua papan kekunci tindakan akan direkodkan oleh keylogger dan dihantar ke hxxp://wqaz .site/log/index.php.

Fail ketiga ini VNC yang tersembunyi jauh mengawal trojan hacker yang boleh digunakan untuk mengawal dalam mesin yang dijangkiti. Menurut para penyelidik, fail ketiga merupakan versi TIKUS dikenali lebih rendah yang dipanggil DarkVNC.


Leave a Reply

Your email address will not be published. Required fields are marked *