به گزارش کارگروه امنیت سایبربان؛ کارشناسان شرکت دکتر وب (Dr. Web) بهتازگی در وبسایت مشهور سینت (CNET) نسخههای مخرب نرمافزار ویاسدیسی (VSDC)، یکی از محبوبترین برنامههای ویرایش ویدیویی رایگان و تبدیل ویدیو را شناسایی کردهاند که به مهاجمان امکان کنترل از راه دور سیستمهای آلوده را میدهند.
به گفته محققان این شرکت، کاربران بهجای نسخه اصلی نرمافزار، بسته نصب آلوده به بدافزار نرمافزار ویاسدیسی را از بخش download[.]cnet[.]com دریافت میکنند.
لینک مذکور کاربران را به دامنه downloads[.]videosfotdev[.]com هدایت میکند که تحت کنترل مهاجمان قرار دارد. مهاجمان قربانیان دلخواه خود را بر اساس موقعیت مکانی آنها انتخاب کرده و بسته نصب مخرب نرمافزار را با امضای دیجیتال واقعی به آنها ارائه میدهند.
زمانی که کاربران برنامه را نصب میکنند، علاوه بر نصب خود ویرایشگر، در دایرکتوری %userappdata% دو پوشه ایجاد میشود. یکی از پوشهها شامل مجموعه فایلهای مشروع اپلیکیشن TeamViewer بوده و دیگری شامل تروجانی است که اقدام به بارگیری ماژولهای کمکی مخرب و فایلهای DLL تروجان جاسوسی BackDoor.TeamViewer میکند که امکان اتصال به سیستم آلوده و دور زدن آنتیویروسهای ویندوز را فراهم میکنند.
مهاجمان با استفاده از تروجان BackDoor.TeamViewer برنامههای مخرب زیر را به سیستمهای آلوده ارسال میکنند:
- بدافزار سارق گذرواژه Predator the Thief
- تروجان SystemBC
- کیلاگر
- تروجان کنترل از راه دور پروتکل RDP
- بسته نصب جعلی NordVPN
وبسایت رسمی نرمافزار ویاسدیسی در سال 2019 نیز هایجک و آلوده به بدافزار شده بود و بازدیدکنندگان بهجای نرمافزار اصلی، تروجانهای بانکی Win32.Bolik.2 و KPOT Stealer را دریافت میکردند.
