- Регистрация
- 20 Июн 2018
- Сообщения
- 1,734
- Реакции
- 632
- Репутация
- 39
- Род занятий
-
Отрисовка документов
Речь идет о глобальной атаке, затрагивающей более чем 30 стран.
Неизвестные злоумышленники взломали официальный сайт популярного бесплатного аудио и видеоредактора VSDC и подменили ссылки на скачивание программного обеспечения. После перехода по скомпрометированной ссылке на компьютер пользователя загружаются инфостилер, троян для удаленного доступа и кейлогер.
Поспециалистов компании Qihoo 360, подмена официальных ссылок осуществлялась в три разных периода – 18 июня, 2 и 6 июля. После перехода по модифицированной ссылке на устройство загружается взломанная версия установщика VSDC Free Video Editor (файл Javascript). Данный файл обфусцирован, чтобы не привлекать внимание антивирусных решений.
Далее скрипт загружает три исполняемых файла. Первый представляет собой инфостилер, собирающий различные конфиденциальные данные, в том числе логины/пароли для учетных записей в Telegram, Steam и Skype и кошелька Electrum. Также вредонос делает снимки экрана. Помимо него, на компьютер загружается кейлогер, фиксирующий все нажатия на клавиатуре, и троян для удаленного доступа, использующий hVNC (Hidden VNC – Virtual Network Computing) для создания нового рабочего стола Windows. Все похищенные данные отправляются на подконтрольные злоумышленникам серверы.
Как отмечают исследователи, речь идет о глобальной атаке, затрагивающей более чем 30 стран. В настоящее время хакеры подменяют ссылки на определенный период времени, однако специалисты не исключают вероятности более масштабных атак в будущем.
Комментарий представителей проекта VSDC Video Editor
Мы провели всю необходимую работу по устранению последствий атак и профилактике потенциальных угроз. Используя как собственные ресурсы, так и сторонних экспертов, был проведен внеплановый аудит вебсайта нашего продукта. Было выявлено, что злоумышленники взломали административную часть сайта и заменили ссылки на дистрибутивный файл программы. Стоит отметить, что сами дистрибутивы скомпрометированы не были.
Атаки шли с IP адреса, зарегистрированного в Литве - 185.25.51.133
Что было сделано?
1. Все исходные файлы сайта были восстановлены, лишние удалены.
Были изменены все пароли. Как показала наша практика, 10-12 символьные пароли из случайных символов не являются достаточно сложными, поэтому они их длина была значительно увеличена.
2. Введена двухуровневая аутентификация доступа в административную часть на уровне сервера IIS.
3. На сервере размещена утилита, проверяющая все файлы на валидность путем сверки их с эталонными. Рассматривается вариант постоянного использования продуктов лаборатории Касперского.
На своем опыте хотели бы порекомендовать всем владельцам сайтов:
- Регулярно проводить аудит сайта.
- Устанавливать антивирусное ПО на сайт и не забывать обновлять его.
- Ежедневно делать резервные копии (bacdkup) сайта и баз данных.
- Быть внимательными к отзывам пользователей.
Неизвестные злоумышленники взломали официальный сайт популярного бесплатного аудио и видеоредактора VSDC и подменили ссылки на скачивание программного обеспечения. После перехода по скомпрометированной ссылке на компьютер пользователя загружаются инфостилер, троян для удаленного доступа и кейлогер.
Поспециалистов компании Qihoo 360, подмена официальных ссылок осуществлялась в три разных периода – 18 июня, 2 и 6 июля. После перехода по модифицированной ссылке на устройство загружается взломанная версия установщика VSDC Free Video Editor (файл Javascript). Данный файл обфусцирован, чтобы не привлекать внимание антивирусных решений.
Далее скрипт загружает три исполняемых файла. Первый представляет собой инфостилер, собирающий различные конфиденциальные данные, в том числе логины/пароли для учетных записей в Telegram, Steam и Skype и кошелька Electrum. Также вредонос делает снимки экрана. Помимо него, на компьютер загружается кейлогер, фиксирующий все нажатия на клавиатуре, и троян для удаленного доступа, использующий hVNC (Hidden VNC – Virtual Network Computing) для создания нового рабочего стола Windows. Все похищенные данные отправляются на подконтрольные злоумышленникам серверы.
Как отмечают исследователи, речь идет о глобальной атаке, затрагивающей более чем 30 стран. В настоящее время хакеры подменяют ссылки на определенный период времени, однако специалисты не исключают вероятности более масштабных атак в будущем.
Комментарий представителей проекта VSDC Video Editor
Мы провели всю необходимую работу по устранению последствий атак и профилактике потенциальных угроз. Используя как собственные ресурсы, так и сторонних экспертов, был проведен внеплановый аудит вебсайта нашего продукта. Было выявлено, что злоумышленники взломали административную часть сайта и заменили ссылки на дистрибутивный файл программы. Стоит отметить, что сами дистрибутивы скомпрометированы не были.
Атаки шли с IP адреса, зарегистрированного в Литве - 185.25.51.133
Что было сделано?
1. Все исходные файлы сайта были восстановлены, лишние удалены.
Были изменены все пароли. Как показала наша практика, 10-12 символьные пароли из случайных символов не являются достаточно сложными, поэтому они их длина была значительно увеличена.
2. Введена двухуровневая аутентификация доступа в административную часть на уровне сервера IIS.
3. На сервере размещена утилита, проверяющая все файлы на валидность путем сверки их с эталонными. Рассматривается вариант постоянного использования продуктов лаборатории Касперского.
На своем опыте хотели бы порекомендовать всем владельцам сайтов:
- Регулярно проводить аудит сайта.
- Устанавливать антивирусное ПО на сайт и не забывать обновлять его.
- Ежедневно делать резервные копии (bacdkup) сайта и баз данных.
- Быть внимательными к отзывам пользователей.