CNETのWebサイトから感染したVSDCインストーラが拡散される

この度、Doctor Webのウイルスアナリストは人気の高いソフトウェアプラットフォーム CNET 上にある動画編集ソフトウェア VSDC のダウンロードリンクが侵害されているということを明らかにしました。訪問者は正規ソフトウェアの代わりに悪意のあるソフトウェアがバンドルされた改変されたインストーラを受け取ります。その結果、サイバー犯罪者が感染したコンピューターにリモートでアクセスすることが可能になります。 SimilarWeb の統計によると、CNETのダウンロードセクションには毎月約9000万人のユーザーがアクセスしています。

###

Doctor Webでは2019年の初旬にも、人気の動画編集ソフトウェアであるVSDCの公式サイトが侵害されていることについて記事を掲載しています。今回のサイバー犯罪者の手口は、VSDCのWebページ上にあるダウンロードリンクを偽のリンクと置き換えることで、CNETの download[.]com から悪意のあるインストーラが拡散されるようにするというものでした。

侵害されたリンクをクリックしたユーザーは downloads[.]videosfotdev[.]com へと飛ばされます。これはハッカーにコントロールされるスプーフィングされた(偽装された)ドメイン名です。標的となるユーザーは位置情報に基づいて決定され、標的の対象外となるユーザーは正規のVSDCサイトへリダイレクトされます。それ以外のユーザーはハッキングされたインストーラを受け取りますが、このインストーラは有効なデジタル署名を持っています。

感染メカニズムは次のようになっています。インストールプロセス中に、インストーラは実際のプログラムの他に2つのフォルダを %userappdata% ディレクトリ内に作成します。フォルダの1つにはリモートコントロールアプリケーション TeamViewer 用の通常のファイルセットが含まれています。もう1つのフォルダにはダウンローダ型トロイの木馬が含まれており、このトロイの木馬はリポジトリから悪意のある補助モジュールを取得します。これらはトロイの木馬が感染させたコンピューターへの不正な接続を確立することを可能にする、 BackDoor.TeamViewer として検出される.dllファイルであり、また、Windowsにビルトインされたアンチウイルス保護をすり抜けるためのスクリプトでもあります。

詳細は以下をご覧ください。
リンク

本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]