Frankfurt, 11. April 2019

Die Virenanalysten von Doctor Web fanden heraus, dass die offizielle Webseite des beliebten Video- und Audiobearbeitungsprogramms VSDC kompromittiert wurde. Die Hacker ersetzten den Download-Link, weshalb Nutzer zusammen mit der Editor-App den gefährlichen Banking-Trojaner Win32.Bolik.2 und Trojan.PWS.Stealer (KPOT Stealer) heruntergeladen haben.

VSDC ist eine beliebte kostenlose Video- und Audioverarbeitungssoftware. Laut SimilarWeb hat die offizielle Webseite, von der aus dieser Video-Editor heruntergeladen werden kann, monatlich rund 1,3 Millionen Nutzer. Die vom Unternehmen getroffenen Sicherheitsmaßnahmen reichen jedoch oft nicht aus, um eine derartige Webseite mit einem solchen Traffic zu betreiben, was viele Nutzer gefährdet.

Im vergangenen Jahr erhielten unbekannte Hacker den Administratorzugang zur VSDC-Webseite und ersetzten dort Download-Links. Statt eines Video-Editors luden Nutzer eine JavaScript-Datei herunter, die dann AZORult Stealer, X-Key Keylogger und DarkVNC Backdoor herunterlud. VSDC berichtete, dass die Schwachstelle beseitigt wurde. Vor kurzem sind den Virenanalysten von Doctor Web jedoch andere Infektionsfälle aufgefallen.

Gemäß den Virenanalysten von Doctor Web wurde der Computer des VSDC-Entwicklers seit der letzten Infektion mehrmals angegriffen. Einer der Hacks führte vom 21.02.2019 bis 23.03.2019 zur Kompromittierung der Webseite. Diesmal verwendeten Hacker eine andere Methode zur Verbreitung von Malware: Sie haben einen bösartigen JavaScript-Code in die VSDC-Site eingebettet, um Besucher der Webseite orten zu können und einen Download-Link für Nutzer aus Großbritannien, den USA, Kanada und Australien zu ersetzen. Anstatt authentischer VSDC-Links wurden Links zu einer gehackten Webseite verwendet:

• https://thedoctorwithin[.]com/video_editor_x64.exe
• https://thedoctorwithin[.]com/video_editor_x32.exe
• https://thedoctorwithin[.]com/video_converter.exe

Nutzer, die das Programm von dieser Webseite heruntergeladen haben, haben auch einen gefährlichen Banking-Trojaner heruntergeladen - Win32.Bolik.2. Wie Win32.Bolik.1 hat auch Win32.Bolik.1 Eigenschaften eines multimodularen polymorphen Dateivirus. Diese Trojaner wurden speziell dafür entwickelt, um Web-Injektionen durchzuführen, Traffic abzufangen, Keylogging durchzuführen und Informationen aus CRM-Systemen verschiedener Kreditinstitute zu stehlen. Aktuell sind den Virenanalysten von Doctor Web mindestens 565 Fälle einer Infektion mit diesem Trojaner über videosoftdev.com bekannt. Bemerkenswert ist auch, dass alle Trojaner-Dateien aktuell nur mit Hilfe von Dr.Web Produkten erfolgreich aufgespürt werden können.

Darüber hinaus ersetzten Hacker am 22.03.2019 Win32.Bolik.2 durch eine weitere Malware – eine Version des Trojan.PWS.Stealer (KPOT Stealer). Dieser Trojaner klaut Informationen aus Browsern, Microsoft-Konten, Messengern und anderen Apps. An nur einem einzigen Tag wurde er von 83 Nutzern heruntergeladen.

Die VSDC-Entwickler wurden über die Kompromittierung ihrer Webseite informiert. Alle Download-Links wurden wiederhergestellt. Doctor Web empfiehlt jedoch allen Nutzern von VSDC-Produkten, ihre Geräte mit Hilfe von Dr.Web auf Malware zu scannen.

Indikatoren der Kompromittierung.