le 11 avril 2019

Les chercheurs du Laboratoire de Doctor Web ont découvert que le site officiel du programme populaire VSDC conçu pour l'édition de vidéos a été compromis. Les pirates ont remplacé un lien de téléchargement et les utilisateurs téléchargeaient le Trojan bancaire Win32.Bolik.2, ainsi que le stealer Trojan.PWS.Stealer (KPOT Stealer) en parallèle du programme d’édition de vidéos.

VSDC est un logiciel gratuit pour traiter des fichiers audio et vidéo. Selon SimilarWeb, la fréquentation mensuelle du site officiel sur lequel les internautes peuvent télécharger cet éditeur est d'environ 1,3 millions d'utilisateurs. Toutefois, les mesures de sécurité prises par les propriétaires de la ressource semblent insuffisantes pour un site ayant une telle popularité.

L'an dernier, des pirates inconnus ont obtenu accès à la partie administrateur du site VSDC et ont remplacé les liens de téléchargement. A la place de l'éditeur vidéo, les utilisateurs téléchargeaient un fichier JavaScript qui, à son tour, téléchargeait AZORult Stealer, X-Key et DarkVNC backdoor. La société VSDC a annoncé que la vulnérabilité avait été réparée, mais récemment, nous avons appris de nouveaux cas de contamination.

Selon nos experts, depuis la dernière contamination, le site de l'éditeur VSDC a été compromis de nouveau à plusieurs reprises. L'un de ces cas de piratage a donné lieu à la compromission du site au cours de la période allant du 21/02/2019 au 23/03/2019. Cette fois, les pirates ont utilisé une méthode de diffusion de malware différente : ils ont inséré un code malveillant JavaScript dans le site de VSDC. Sa tâche était de déterminer la géolocalisation des visiteurs du site et de remplacer le lien de téléchargement pour les utilisateurs du Royaume-Uni, des États-Unis, du Canada et de l’Australie. Au lieu des liens standard VSDC, des liens vers une autre ressource compromise étaient diffusés :

• https://thedoctorwithin[.]com/video_editor_x64.exe
• https://thedoctorwithin[.]com/video_editor_x32.exe
• https://thedoctorwithin[.]com/video_converter.exe

Les utilisateurs qui ont téléchargé le programme depuis cette ressource ont également téléchargé le Trojan bancaire Win32.Bolik.2. Tout comme le malware similaire Win32.Bolik.1, ce programme malveillant possède des caractéristiques de virus polymorphe à plusieurs composants. Ce type de Trojans est destiné à effectuer des injections web, intercepter du trafic, ainsi qu'à l'enregistrement des frappes clavier et au vol d'informations des systèmes " banque - client " de différents établissements. À l'heure actuelle, nous connaissons au moins 565 cas d'infection par ce cheval de Troie via le site videosoftdev.com. Il est intéressant de noter qu'à ce jour, seuls les produits Dr.Web sont en mesure de détecter tous les fichiers du Trojan.

De plus, le 22.03.2019, les pirates ont remplacés Win32.Bolik.2 par un autre malware, qui est une des modifications du Trojan.PWS.Stealer (KPOT Stealer). Ce cheval de Troie vole des informations des navigateurs web, des comptes Microsoft, de divers messengers et depuis d'autres logiciels. En un jour, il a été téléchargé par 83 utilisateurs.

Les développeurs de VSDC ont été informés que le site a été compromis, et les liens de téléchargement sont restaurés. Néanmoins, les experts de Doctor Web recommandent à tous les utilisateurs des produits VSDC de vérifier leurs appareils avec notre antivirus.

Indicateur de compromission

#banker #Trojan bancaire #virus