Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Des pirates utilisent le site de téléchargement download.cnet.com pour distribuer un installateur VSDC contaminé

Le 7 février 2020

Les analystes de Doctor Web alertent sur un lien compromis qui redirige vers le téléchargement du logiciel de traitement de vidéos et audios VSDC disponible sur le site de téléchargement download.cnet.com. A la place du logiciel originel, les visiteurs du site reçoivent un installateur modifié avec un contenu malveillant, qui permet aux pirates de gérer à distance les ordinateurs contaminés. La fréquentation mensuelle de cette ressource est d'environ 90 millions d'utilisateurs. Doctor Web a informé en premier lieu le site, qui a confirmé la prise en compte de l’alerte.

Nous avions publié, au mois d’avril 2019, une alerte sur la compromission du site officiel dédié au logiciel de traitement vidéos et audio - VSDC. Cette fois, les pirates diffusent un installateur malveillant du logiciel à l'aide du catalogue d'application download.cnet.com. La page VSDC contient un lien contrefait vers le téléchargement de l'éditeur.

#drweb

Ce lien compromis redirige vers le domaine contrôlé par les pirates downloads[.]videosfotdev[.]com. La sélection des utilisateurs se fait en fonction de leur géolocalisation. Certains utilisateurs sont redirigés vers le site originel de l'éditeur tandis que les utilisateurs ciblés reçoivent un installateur piraté avec une signature numérique valide.

Le mécanisme de contamination a été mis en œuvre comme suit. Au lancement du programme, l'éditeur de vidéos/audios s’installe, puis deux autres dossiers sont créés dans le répertoire %userappdata%. L'un d'eux contient un ensemble légitime de fichiers de l’utilitaire TeamViewer tandis que le Trojan downloader est enregistré dans l'autre dossier et qu’il télécharge ensuite un référentiel de modules malveillants supplémentaires. Parmi ces modules malveillants, une bibliothèque de la famille BackDoor.TeamViewer qui permet d'installer une connexion non autorisée à un ordinateur infecté (en masquant notamment le fonctionnement de TeamViewer sur l’ordinateur), et un script permettant de contourner la protection antivirus embarquée de l'OS Windows.

En utilisant BackDoor.TeamViewer, les attaquants sont en mesure de télécharger vers les appareils contaminés une charge " utile " sous forme d'applications malveillantes. Parmi lesquelles :

  • keylogger X-Key Keylogger,
  • stealer Predator The Thief,
  • Trojan proxy SystemBC,
  • Trojan nécessaire pour le contrôle à distance via le protocole RDP.

Il est à noter que l'un des référentiels contient un faux installateur NordVPN. Il comporte également des composants malveillants et possède une signature numérique valide.

Au moment de publier cette alerte, les équipes de VSDC ont également pris en compte le problème et mis en place les mesures de sécurité nécessaires.

Les produits Dr.Web détectent et éradiquent toutes les menaces énumérées.

Néanmoins, les experts de Doctor Web recommandent à tous les utilisateurs des produits VSDC de vérifier leurs appareils avec notre antivirus.

Indicateurs de compromission

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2020

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg