Mi biblioteca
Mi biblioteca

+ Añadir a la biblioteca

Soporte
Soporte 24 horas | Normas de contactar

Sus solicitudes

Perfil

Volver a la lista de noticias

Los malintencionados usan el sitio web CNET para difundir un instalador infectado de VSDC

6 de febrero de 2020

Los analistas de virus de la empresa Doctor Web informan sobre el compromiso del enlace para descargar un programa de procesamiento de vídeo y audio VSDC en el catálogo del sitio web popular CNET. En vez del programa original, los visitantes del sitio web reciben un instalador modificado con contenido malicioso que permite a los malintencionados administrar a distancia los equipos infectados. Unos 90 millones de usuarios al mes consultan el recurso.

Anteriormente ya habíamos informado sobre el compromiso del sitio web oficial del software gratis para el procesamiento de vídeo y audio — VSDC. Esta vez los malintencionados difunden un instalador malicioso del programa a través del catálogo de aplicaciones download[.]cnet[.]com. En la página VSDC está publicado un enlace falsificado para descargar el editor.

#drweb

El enlace comprometido lleva al dominio controlado por hackers downloads[.]videosfotdev[.]com. Los usuarios se seleccionan a base de geolocalización. Los usuarios que no forman parte del público objetivo se redirigen al sitio web real del desarrollador, los demás reciben un instalador hackeado con la firma digital válida.

El mecanismo de infección fue realizado de forma siguiente. Al iniciar el programa, además de instalar el editor, en el directorio %userappdata% se crean dos carpetas. Una de ellas contiene un conjunto legítimo de archivos de la utilidad de instalación remota TeamViewer, y en la otra se guarda un troyano descargador que descarga los módulos maliciosos extra del repositorio. Es una biblioteca de la familia BackDoor.TeamViewer que permite establecer conexión no autorizada con el equipo infectado y un ecript para esquivar la protección incrustada antivirus del SO Windows.

Con BackDoor.TeamViewer los malintencionados pueden hacer llegar a los dispositivos infectados la carga útil en aplicaciones maliciosas. Entre ellas:

  • keyloger X-Key Keylogger,
  • stealer Predator The Thief,
  • Troyano proxy SystemBC,
  • Troyano para administración remota por protocolo RDP.

Cabe destacar que en un repositorio hay un instalador falsificado de NordVPN. También contiene los componentes maliciosos indicados y tiene firma digital válida.

Todas las amenazas mencionadas se detectan correctamente por los productos Dr.Web.

Los expertos de Doctor Web recomiendan a todos los usuarios de los productos VSDC escanear sus dispositivos con nuestro antivirus.

Indicadores del compromiso

Nos importa su opinión

Para hacer una pregunta sobre la noticia para la administración del sitio web, indique al principio de su comentario @admin. Si su pregunta es para el autor de algún comentario - indique @ antes de escribir su nombre.


Otros comentarios