知名音视频编辑软件VSDC网站再次被劫持并分发病毒

作者:   深圳市网安计算机安全检测技术有限公司 2019/04/15 09:27:05 193次阅读 国际
文章来源:https://www.secrss.com/articles/9901

       如果您在今年2月底到3月下旬之前下载了VSDC多媒体编辑软件,那么您的计算机很可能已经感染了银行木马和信息窃取器。黑客再一次攻击了免费多媒体编辑器VSDC的网站,这次下载链接被用于分发银行木马和信息窃取器。

       VSDC音视频编辑器在国内外小有名气,其官网http://www.videosoftdev.com在Alexa全球排名前两万之中。从Alexa给出的搜索热度看,Free Video Editor是搜索热度最高的VSDC产品。

Cvmo8lyzQhqAX3S6AAAhIUzpRWU278.png

       根据发现此次攻击事件的Doctor Web研究人员的说法,黑客劫持了网站的下载链接,想要下载VSDC的用户点击该链接后,随编辑器同时下载的还有一个银行木马Win32.Bolik.2和Trojan.PWS.Stealer(KPOT窃取器)。

VSDC网站每个月的访问量在1300万左右,所以这一事态非常严重。

Cvmo8lyzQhuAZKDFAACHWp76B94948.jpg

VSDC网站

       更糟糕的是,这不是VSDC官网下载链接第一次被劫持了,2018年7月360安全中心发现VSDC官网下载链接被黑客劫持,下载下来的软件还包括了:窃密木马、键盘记录器、远控木马。这次攻击波及三十多个国家和地区,很有可能是一起供应链污染攻击。在攻击中还出现了更换劫持指向的域名的情况,这更证明了黑客已经控制了VSDC官网并能够随时将下载链接替换为其他地址。

Cvmo0lyzQhuAI6c4AAAqUDtv_SM437.jpg

       虽然VSDC团队发表声明称被黑客利用的漏洞已被修补,但Doctor Web的研究人员还是发现它再一次发生了同样的事情。

Cvmo0lyzQhyAGIFwAAClcqkVcmU067.jpg

以下是Doctor Web研究团队的详细说明:

       根据研究,VSDC开发人员的计算机自上一次事件以来已多次遭到入侵,这导致VSDC网站在2019年2月21日和3月23日之间再次遭到入侵。这次黑客采取了不同的方法来传播恶意软件:他们在VSDC网站中嵌入了恶意JavaScript代码,该代码可以确定访问者的地理位置,并替换英国、美国、加拿大和澳大利亚的用户的下载链接。原生网站链接被受感染的链接所取代:

       下载并启动受感染的VSDC视频编辑器和视频转换器的用户的计算机可能感染了被Doctor Web标记为Win32.Bolik .2和KPOT Stealer Trojan变体的多组件多态银行木马。

       该银行特洛伊木马旨在执行网络注入、流量拦截、密钥记录和窃取不同银行客户端的信息,而KPOT信息窃取程序将从浏览器、微软账户以及其他程序中窃取信息。

       据Doctor Web团队透露,至少有565名用户的计算机被Win32.Bolik.2银行木马感染,而另外83名用户下载的VSDC软件感染了KPOT Stealer。

VSDC开发人员收到了有关威胁的通知,目前下载链接已恢复到原始状态。

以下是VSDC的声明:

Cvmo8lyzQhyAUrh2AABYTMNZSsA669.jpg


指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室