Hacker dibajak situs resmi VSDC untuk mendistribusikan perangkat lunak jahat

Computer Security News

Pakar keamanan Total 360 Qihoo melaporkan bahwa penjahat cyber menggunakan situs resmi VSDC (http://www.videosoftdev.com) untuk mendistribusikan perangkat lunak jahat.

Menurut para peneliti, hacker telah membajak link download di website VSDC dalam periode tiga berbeda, menunjuk ke server mereka beroperasi.

Para penjahat cyber menguasai bagian administrasi server website dan digantikan link ke file distribusi dari program.

Para peneliti keamanan juga menemukan bahwa serangan yang terdaftar dari alamat IP di Lithuania-185 [.] 25.51.133.

“360 pusat keamanan menemukan link download audio terkenal dan editor video, VSDC (http://www.videosoftdev.com), telah dibajak dalam website resmi. Komputer akan disuntikkan oleh pencurian Trojan, keylogger dan remote control Trojan setelah program download dan diinstal.” Analisis keamanan Total 360 Qihoo Amerika Serikat.

Rincian tiga serangan yang berbeda adalah:

  • 18 Juni – hacker diganti download link dengan hxxp://5.79.100 .218/_files/file.php
  • 2 Juli – hacker diganti download link dengan hxxp://drbillbailey .us/tw/file.php
  • 6 Juli – hacker diganti download link dengan hxxp://drbillbailey .us/tw/file.php

Audio dan video editor VSDC dikonfirmasi insiden dan berhasil memperbaiki link pada situs web.

Periode pertama dan ketiga mempengaruhi sebagian besar pengguna yang terinfeksi dengan tiga bagian yang berbeda dari malware.

Apa pengguna VSDC yang diterima adalah file JavaScript yang menyamar sebagai perangkat lunak VSDC yang bertindak sebagai sebuah downloader untuk PowerShell script, yang, pada gilirannya, akan download tiga berbahaya muatan, infostealer, keylogger, dan remote akses trojan (RAT).

Ini adalah infostealer yang membajak informasi sensitif seperti Telegram akun /password, uap account/ password, log obrolan Skype, Electrum dompet dan screenshot dari komputer korban. Kemudian, data dikirim kembali ke hxxp://system-check .xyz/index.php.

Semua tindakan keyboard yang direkam oleh keylogger dan dikirim ke hxxp://wqaz .site/log/index.php.

File ketiga adalah VNC tersembunyi remote kontrol trojan hacker yang dapat digunakan untuk mengontrol mesin yang terinfeksi. Menurut peneliti, file ketiga adalah versi tikus dikenal kecil yang disebut DarkVNC.


Leave a Reply

Your email address will not be published. Required fields are marked *