События

Хакеры распространяют трояны с официального сайта VSDC (Обновлено)

Неизвестные злоумышленники взломали официальный сайт популярного бесплатного аудио и видеоредактора VSDC и подменили ссылки на скачивание программного обеспечения. После перехода по скомпрометированной ссылке на компьютер пользователя загружаются инфостилер, троян для удаленного доступа и кейлогер.

По данным специалистов компании Qihoo 360, подмена официальных ссылок осуществлялась в три разных периода – 18 июня, 2 и 6 июля. После перехода по модифицированной ссылке на устройство загружается взломанная версия установщика VSDC Free Video Editor (файл Javascript). Данный файл обфусцирован, чтобы не привлекать внимание антивирусных решений.

Далее скрипт загружает три исполняемых файла. Первый представляет собой инфостилер, собирающий различные конфиденциальные данные, в том числе логины/пароли для учетных записей в Telegram, Steam и Skype и кошелька Electrum. Также вредонос делает снимки экрана. Помимо него, на компьютер загружается кейлогер, фиксирующий все нажатия на клавиатуре, и троян для удаленного доступа, использующий hVNC (Hidden VNC – Virtual Network Computing) для создания нового рабочего стола Windows. Все похищенные данные отправляются на подконтрольные злоумышленникам серверы.

Как отмечают исследователи, речь идет о глобальной атаке, затрагивающей более чем 30 стран. В настоящее время хакеры подменяют ссылки на определенный период времени, однако специалисты не исключают вероятности более масштабных атак в будущем.

Комментарий представителей проекта VSDC Video Editor

Мы провели всю необходимую работу по устранению последствий атак и профилактике потенциальных угроз. Используя как собственные ресурсы, так и сторонних экспертов, был проведен внеплановый аудит вебсайта нашего продукта. Было выявлено, что злоумышленники взломали административную часть сайта и заменили ссылки на дистрибутивный файл программы. Стоит отметить, что сами дистрибутивы скомпрометированы не были.

Атаки шли с IP адреса, зарегистрированного в Литве - 185.25.51.133

Что было сделано?

1. Все исходные файлы сайта были восстановлены, лишние удалены.
Были изменены все пароли. Как показала наша практика, 10-12 символьные пароли из случайных символов не являются достаточно сложными, поэтому они их длина была значительно увеличена.
2. Введена двухуровневая аутентификация доступа в административную часть на уровне сервера IIS.
3. На сервере размещена утилита, проверяющая все файлы на валидность путем сверки их с эталонными. Рассматривается вариант постоянного использования продуктов лаборатории Касперского.

На своем опыте хотели бы порекомендовать всем владельцам сайтов:
- Регулярно проводить аудит сайта.
- Устанавливать антивирусное ПО на сайт и не забывать обновлять его.
- Ежедневно делать резервные копии (bacdkup) сайта и баз данных.
- Быть внимательными к отзывам пользователей.

Источник

Автор: Сергей Куприянов
11.07.2018 (14:35)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.