Defend what you create

Mehr

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support

Ihre Anfragen

Rufen Sie uns an

+7 (495) 789-45-86

Profil

Zurück zur Übersicht

Cyber-Kriminelle nutzen die CNET-Website zur Verbreitung des infizierten Installationsassistenten von VSDC

Baden-Baden, 6. Februar 2020

Die Virenanalysten von Doctor Web haben herausgefunden, dass Downloadlinks für den VSDC Audio und Video Editor im Katalog der beliebten Website CNET kompromittiert sind. Anstelle des ursprünglichen Programms erhalten die Besucher der Website ein modifiziertes Installationsprogramm mit bösartigem Inhalt, das es Angreifern ermöglicht, infizierte Computer fernzusteuern. Die Website wird monatlich von etwa 90 Millionen Nutzern aufgerufen.

Noch im April 2019 haben wir über die Kompromittierung der Website des Herstellers der beliebten kostenlosen Video- und Tonbearbeitungssoftware VSDC berichtet. Diesmal verbreiten Cyber-Kriminelle das bösartige VSDC-Installationsprogramm über das Anwendungsverzeichnis download[.]cnet[.]com. Die VSDC-Webseite enthält nun einen gefälschten Link zum Herunterladen des Editors.

#drweb

Ein kompromittierter Link führt zur von Hackern kontrollierten Domäne Downloads[.]videosfotdev[.]com. Die Auswahl der Benutzer basiert auf der Geolokalisierung. Benutzer, die nicht zur Zielgruppe gehören, werden auf die ursprüngliche Entwickler-Website umgeleitet, während andere ein geknacktes Installationsprogramm mit einer gültigen digitalen Signatur erhalten.

Der Infektionsmechanismus ist wie folgt: Beim Start des Programms werden neben der Installation des Editors zwei Ordner im Verzeichnis %userappdata% erstellt. Einer davon enthält einen legitimen Satz von Dateien für TeamViewer, während der andere einen Download-Trojaner enthält, der zusätzliche böswillige Module aus dem Repository herunterlädt. Dies ist die Bibliothek der BackDoor.TeamViewer-Familie, die es Cyber-Kriminellen ermöglicht, eine nicht autorisierte Verbindung zu einem infizierten Computer herzustellen und ein Skript zur Umgehung des installierten Windows-Virenschutzes zu verwenden.

Mit BackDoor.TeamViewer können Angreifer bösartige Apps auf infizierte Geräte übertragen. Unter diesen sind folgende Schädlinge zu finden:

  • X-Key Keylogger,
  • Predator The Thief,
  • Proxy-Trojaner SystemBC,
  • Trojaner für die Fernverwaltung über das RDP-Protokoll.

In einem der Repositories befindet sich auch ein gefälschtes NordVPN-Installationsprogramm. Es trägt ebenfalls die angegebenen schadhaften Komponenten und verfügt über eine gültige digitale Signatur.

All diese Bedrohungen werden von Dr.Web erfolgreich erkannt und neutralisiert.

Die Sicherheitsspezialisten von Doctor Web empfehlen allen Benutzern von VSDC-Produkten, ihre Geräte mit Dr.Web Antivirus zu prüfen.

Kompromittierungsindikatoren

Ihre Meinung ist uns wichtig!

Für jeden Kommentar bekommen Sie 1 Dr.Web Punkt gutgeschrieben. Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.


Andere Kommentare

Führender russischer Hersteller von Virenschutzsoftware

Entwickelt seit 1992

Dr.Web wird in mehr als 200 Ländern genutzt

Antivirus im SaaS-Modell seit 2007

Technischer Support rund um die Uhr

© Doctor Web
2003 — 2020

Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

Doctor Web Deutschland GmbH. Quettigstr. 12, 76530 Baden-Baden