Defend what you create

Mehr

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support

Schreiben Sie uns

Ihre Anfragen

Rufen Sie uns an

+7 (495) 789-45-86

Profil

Zurück zur Übersicht

Webseite des Anbieters der bekannten Video- und Audiobearbeitungs-App VSDC ist mit einem Banking-Trojaner infiziert

Frankfurt, 11. April 2019

Die Virenanalysten von Doctor Web fanden heraus, dass die offizielle Webseite des beliebten Video- und Audiobearbeitungsprogramms VSDC kompromittiert wurde. Die Hacker ersetzten den Download-Link, weshalb Nutzer zusammen mit der Editor-App den gefährlichen Banking-Trojaner Win32.Bolik.2 und Trojan.PWS.Stealer (KPOT Stealer) heruntergeladen haben.

VSDC ist eine beliebte kostenlose Video- und Audioverarbeitungssoftware. Laut SimilarWeb hat die offizielle Webseite, von der aus dieser Video-Editor heruntergeladen werden kann, monatlich rund 1,3 Millionen Nutzer. Die vom Unternehmen getroffenen Sicherheitsmaßnahmen reichen jedoch oft nicht aus, um eine derartige Webseite mit einem solchen Traffic zu betreiben, was viele Nutzer gefährdet.

#drweb

Im vergangenen Jahr erhielten unbekannte Hacker den Administratorzugang zur VSDC-Webseite und ersetzten dort Download-Links. Statt eines Video-Editors luden Nutzer eine JavaScript-Datei herunter, die dann AZORult Stealer, X-Key Keylogger und DarkVNC Backdoor herunterlud. VSDC berichtete, dass die Schwachstelle beseitigt wurde. Vor kurzem sind den Virenanalysten von Doctor Web jedoch andere Infektionsfälle aufgefallen.

Gemäß den Virenanalysten von Doctor Web wurde der Computer des VSDC-Entwicklers seit der letzten Infektion mehrmals angegriffen. Einer der Hacks führte vom 21.02.2019 bis 23.03.2019 zur Kompromittierung der Webseite. Diesmal verwendeten Hacker eine andere Methode zur Verbreitung von Malware: Sie haben einen bösartigen JavaScript-Code in die VSDC-Site eingebettet, um Besucher der Webseite orten zu können und einen Download-Link für Nutzer aus Großbritannien, den USA, Kanada und Australien zu ersetzen. Anstatt authentischer VSDC-Links wurden Links zu einer gehackten Webseite verwendet:

  • https://thedoctorwithin[.]com/video_editor_x64.exe
  • https://thedoctorwithin[.]com/video_editor_x32.exe
  • https://thedoctorwithin[.]com/video_converter.exe

Nutzer, die das Programm von dieser Webseite heruntergeladen haben, haben auch einen gefährlichen Banking-Trojaner heruntergeladen - Win32.Bolik.2. Wie Win32.Bolik.1 hat auch Win32.Bolik.1 Eigenschaften eines multimodularen polymorphen Dateivirus. Diese Trojaner wurden speziell dafür entwickelt, um Web-Injektionen durchzuführen, Traffic abzufangen, Keylogging durchzuführen und Informationen aus CRM-Systemen verschiedener Kreditinstitute zu stehlen. Aktuell sind den Virenanalysten von Doctor Web mindestens 565 Fälle einer Infektion mit diesem Trojaner über videosoftdev.com bekannt. Bemerkenswert ist auch, dass alle Trojaner-Dateien aktuell nur mit Hilfe von Dr.Web Produkten erfolgreich aufgespürt werden können.

Darüber hinaus ersetzten Hacker am 22.03.2019 Win32.Bolik.2 durch eine weitere Malware – eine Version des Trojan.PWS.Stealer (KPOT Stealer). Dieser Trojaner klaut Informationen aus Browsern, Microsoft-Konten, Messengern und anderen Apps. An nur einem einzigen Tag wurde er von 83 Nutzern heruntergeladen.

Die VSDC-Entwickler wurden über die Kompromittierung ihrer Webseite informiert. Alle Download-Links wurden wiederhergestellt. Doctor Web empfiehlt jedoch allen Nutzern von VSDC-Produkten, ihre Geräte mit Hilfe von Dr.Web auf Malware zu scannen.

Indikatoren der Kompromittierung.

Ihre Meinung ist wichtig für uns!

Für jeden Kommentar bekommen Sie 1 Dr.Web Punkt gutgeschrieben. Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.


Andere Kommentare

Führender russischer Hersteller von Virenschutzsoftware

Entwickelt seit 1992

Dr.Web wird in mehr als 200 Ländern genutzt

Antivirus im SaaS-Modell seit 2007

Technischer Support rund um die Uhr

© Doctor Web
2003 — 2019

Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

Doctor Web Deutschland GmbH. Platz der Einheit 1. 60327 Frankfurt