FÜR NUTZER

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Suche
Suche

Support
Support 24/7 | Regeln zur Anfragenübermittlung

Schreiben Sie uns

Online-Formular

Telefon

+49 (0) 170 488 40 28

Forum

Ihre Anfragen

Neue Anfrage

Rufen Sie uns an

+7 (495) 789-45-86

Profil

DE

RU CN DE EN ES FR IT JP KZ UZ PL BY
Schließen
News

News nach thema

News über Viren & Co.
Die Wahrheit über Viren & Co.
Newsticker
Presse

Zurück zu News

Cyber-Kriminelle nutzen die CNET-Website zur Verbreitung des infizierten Installationsassistenten von VSDC

Baden-Baden, 6. Februar 2020

Die Virenanalysten von Doctor Web haben herausgefunden, dass Downloadlinks für den VSDC Audio und Video Editor im Katalog der beliebten Website CNET kompromittiert sind. Anstelle des ursprünglichen Programms erhalten die Besucher der Website ein modifiziertes Installationsprogramm mit bösartigem Inhalt, das es Angreifern ermöglicht, infizierte Computer fernzusteuern. Die Website wird monatlich von etwa 90 Millionen Nutzern aufgerufen.

Noch im April 2019 haben wir über die Kompromittierung der Website des Herstellers der beliebten kostenlosen Video- und Tonbearbeitungssoftware VSDC berichtet. Diesmal verbreiten Cyber-Kriminelle das bösartige VSDC-Installationsprogramm über das Anwendungsverzeichnis download[.]cnet[.]com. Die VSDC-Webseite enthält nun einen gefälschten Link zum Herunterladen des Editors.

#drweb

Ein kompromittierter Link führt zur von Hackern kontrollierten Domäne Downloads[.]videosfotdev[.]com. Die Auswahl der Benutzer basiert auf der Geolokalisierung. Benutzer, die nicht zur Zielgruppe gehören, werden auf die ursprüngliche Entwickler-Website umgeleitet, während andere ein geknacktes Installationsprogramm mit einer gültigen digitalen Signatur erhalten.

Der Infektionsmechanismus ist wie folgt: Beim Start des Programms werden neben der Installation des Editors zwei Ordner im Verzeichnis %userappdata% erstellt. Einer davon enthält einen legitimen Satz von Dateien für TeamViewer, während der andere einen Download-Trojaner enthält, der zusätzliche böswillige Module aus dem Repository herunterlädt. Dies ist die Bibliothek der BackDoor.TeamViewer-Familie, die es Cyber-Kriminellen ermöglicht, eine nicht autorisierte Verbindung zu einem infizierten Computer herzustellen und ein Skript zur Umgehung des installierten Windows-Virenschutzes zu verwenden.

Mit BackDoor.TeamViewer können Angreifer bösartige Apps auf infizierte Geräte übertragen. Unter diesen sind folgende Schädlinge zu finden:

  • X-Key Keylogger,
  • Predator The Thief,
  • Proxy-Trojaner SystemBC,
  • Trojaner für die Fernverwaltung über das RDP-Protokoll.

In einem der Repositories befindet sich auch ein gefälschtes NordVPN-Installationsprogramm. Es trägt ebenfalls die angegebenen schadhaften Komponenten und verfügt über eine gültige digitale Signatur.

All diese Bedrohungen werden von Dr.Web erfolgreich erkannt und neutralisiert.

Die Sicherheitsspezialisten von Doctor Web empfehlen allen Benutzern von VSDC-Produkten, ihre Geräte mit Dr.Web Antivirus zu prüfen.

Kompromittierungsindikatoren

Ihre Meinung ist uns wichtig!

Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.


Andere Kommentare