11 de abril de 2019

Los investigadores del laboratorio Doctor Web detectaron que el sitio web oficial del programa popular para procesar vídeo o audio VSDC fue comprometido. Los hackers suplantaron el enlace de descarga, y junto con el editor los usuarios descargaban un troyano bancario peligroso, Win32.Bolik.2, así como un stealer Trojan.PWS.Stealer (KPOT Stealer).

VSDC – es un software gratuito popular para procesar vídeo o audio. Según los datos de SimilarWeb, las consultas mensuales del sitio web oficial donde se puede descargar este editor, son de unos 1.3 millones de usuarios. Pero las medidas de seguridad tomadas por los dueños del recurso frecuentemente no son suficientes para un sitio web tan popular, lo cual les somete al riesgo a muchos usuarios.

El año pasado los hackers desconocidos accedieron a la parte administrativa del sitio web VSDC y suplantaron los enlaces para descargar archivos. En vez del editor de vídeo, los usuarios descargaban un archivo JavaScript que luego cargaba AZORult Stealer, X-Key Keylogger y DarkVNC backdoor. La empresa VSDC informó sobre la corrección de la vulnerabilidad, pero hace poco nos percatamos de otros casos de infección.

Según los datos de nuestros expertos. Desde el momento de la última infección, el equipo del desarrollador de VSDC fue comprometido varias veces más. Un hackeo causó el compromiso del sitio web en el período de 21.02.2019 a 23.03.2019. Esta vez los hackers usaron otro método de difusión del software nocivo: en el sitio web VSDC implementaron un código JavaScript nocivo. Su tarea era detectar la geolocalización de los visitantes del sitio web y la sustitución del enlace de descarga para los usuarios de Gran Bretaña. EE.UU., Canadá y Australia. En vez de los enlaces estándar a VSDC, se usaron los enlaces a otro recurso comprometido:

• https://thedoctorwithin[.]com/video_editor_x64.exe
• https://thedoctorwithin[.]com/video_editor_x32.exe
• https://thedoctorwithin[.]com/video_converter.exe

Los usuarios que descargaron el programa desde este recurso también descargaron un troyano bancario peligroso – Win32.Bolik.2. Al igual que su análogo, Win32.Bolik.1, este software nocivo tiene características del virus de archivo polimórfico multicomponente. Estos troyanos sirven para realizar web injects, interceptar el tráfico, keylogging y robar la información de los sistemas “banca-cliente” de varias entidades de crédito. Actualmente conocemos por lo menos 565 casos de infección con este troyano a través del sitio web videosoftdev.com. Cabe destacar que todos los archivos del troyano se detectan correctamente solo por los productos Dr.Web.

Además, 22.03.2019 los hackers sustituyeron Win32.Bolik.2 por otro software nocivo – una de las variantes de Trojan.PWS.Stealer (KPOT Stealer). Este troyano roba la información de navegadores, la cuenta Microsoft, varios messengers y otros programas. En un día fue descargado por 83 usuarios en sus dispositivos.

Los desarrolladores de VSDC han sido notificados sobre el compromiso del sitio web, y actualmente los enlaces para descargar archivos están recuperados. Aun así, los expertos de Doctor Web recomiendan a todos los usuarios de los productos VSDC a escanear sus dispositivos con nuestro antivirus.

Indicadores del compromiso

#banker #troyano_bancario #virus