Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Через сайт CNET распространяется малварь (http://txgate.io:443/showthread.php?t=17415)

maker 02-21-2025 11:06 AM

Аналитики «Доктор Веб» https://news.drweb.ru/show/?i=13667&lng=ru в каталоге сайта CNET (ежемесячная посещаемость 90 млн человек) вредоносную версию VSDC, популярной программы для обработки видео и звука. Вместо оригинальной программы посетители сайта получают измененный установщик с малварью, что позволяет злоумышленникам дистанционно управлять зараженными машинами.
Интересно, что в прошлом году исследователи уже обнаруживали компрометацию официального сайта VSDC. Тогда ссылки на скачивание редактора подменили, и вместе с программой пользователи загружали банковского трояна Win32.Bolik.2, а также стилера Trojan.PWS.Stealer (KPOT Stealer).
На этот раз злоумышленники распространяют вредоносный установщик VSDC с помощью каталога приложений download[.]cnet[.]com: на странице VSDC размещена поддельная ссылка на скачивание редактора.
https://xakep.ru/wp-content/uploads/...creen_VSDC.png
Эта ссылка ведет на подконтрольный хакерам домен downloads[.]videosfotdev[.]com. Выборка пользователей-жертв осуществляется на основе их местоположения. Так, пользователи не интересующие злоумышленников, перенаправляются на настоящий сайт разработчика, а остальные — получают взломанный установщик с действительной цифровой подписью.
Механизм заражения реализован следующим образом. При запуске программы, помимо установки самого редактора, в директории %userappdata% создаются две папки. Одна из них содержит легитимный набор файлов утилиты для удаленного администрирования TeamViewer, а во вторую сохраняется троян-загрузчик, который скачивает из репозитория дополнительные вредоносные модули. Это библиотека семейства BackDoor.TeamViewer, позволяющая установить несанкционированное соединение с зараженным компьютером, а также скрипт для обхода встроенной антивирусной защиты Windows.
При помощи BackDoor.TeamViewer злоумышленники получают возможность доставлять на инфицированные устройства полезную нагрузку в виде вредоносных приложений. Среди них:
кейлоггер X-Key Keylogger;
стилер Predator The Thief;
прокси-троян SystemBC;
троян для удаленного управления по протоколу RDP.
Индикаторы компрометации доступы https://github.com/DoctorWebLtd/malw...ET/README.adoc.
Эксперты отмечают, что в одном из репозиториев также располагается поддельный установщик NordVPN. Он также несет в себе указанные вредоносные компоненты и имеет действительную цифровую подпись.
</img>


All times are GMT. The time now is 06:02 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.