Revenir vers la liste d'actualités
Le 7 février 2020
Nous avions publié, au mois d’avril 2019, une alerte sur la compromission du site officiel dédié au logiciel de traitement vidéos et audio - VSDC. Cette fois, les pirates diffusent un installateur malveillant du logiciel à l'aide du catalogue d'application download.cnet.com. La page VSDC contient un lien contrefait vers le téléchargement de l'éditeur.
Ce lien compromis redirige vers le domaine contrôlé par les pirates downloads[.]videosfotdev[.]com. La sélection des utilisateurs se fait en fonction de leur géolocalisation. Certains utilisateurs sont redirigés vers le site originel de l'éditeur tandis que les utilisateurs ciblés reçoivent un installateur piraté avec une signature numérique valide.
Le mécanisme de contamination a été mis en œuvre comme suit. Au lancement du programme, l'éditeur de vidéos/audios s’installe, puis deux autres dossiers sont créés dans le répertoire %userappdata%. L'un d'eux contient un ensemble légitime de fichiers de l’utilitaire TeamViewer tandis que le Trojan downloader est enregistré dans l'autre dossier et qu’il télécharge ensuite un référentiel de modules malveillants supplémentaires. Parmi ces modules malveillants, une bibliothèque de la famille BackDoor.TeamViewer qui permet d'installer une connexion non autorisée à un ordinateur infecté (en masquant notamment le fonctionnement de TeamViewer sur l’ordinateur), et un script permettant de contourner la protection antivirus embarquée de l'OS Windows.
En utilisant BackDoor.TeamViewer, les attaquants sont en mesure de télécharger vers les appareils contaminés une charge " utile " sous forme d'applications malveillantes. Parmi lesquelles :
- keylogger X-Key Keylogger,
- stealer Predator The Thief,
- Trojan proxy SystemBC,
- Trojan nécessaire pour le contrôle à distance via le protocole RDP.
Il est à noter que l'un des référentiels contient un faux installateur NordVPN. Il comporte également des composants malveillants et possède une signature numérique valide.
Au moment de publier cette alerte, les équipes de VSDC ont également pris en compte le problème et mis en place les mesures de sécurité nécessaires.
Les produits Dr.Web détectent et éradiquent toutes les menaces énumérées.
Néanmoins, les experts de Doctor Web recommandent à tous les utilisateurs des produits VSDC de vérifier leurs appareils avec notre antivirus.
Votre avis nous intéresse
Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.
Other comments