CNETのWebサイトから感染したVSDCインストーラが拡散される

＃＃＃

Doctor Webでは2019年の初旬にも、人気の動画編集ソフトウェアであるVSDCの公式サイトが侵害されていることについて記事を掲載しています。今回のサイバー犯罪者の手口は、VSDCのWebページ上にあるダウンロードリンクを偽のリンクと置き換えることで、CNETの download[.]com から悪意のあるインストーラが拡散されるようにするというものでした。

侵害されたリンクをクリックしたユーザーは downloads[.]videosfotdev[.]com へと飛ばされます。これはハッカーにコントロールされるスプーフィングされた（偽装された）ドメイン名です。標的となるユーザーは位置情報に基づいて決定され、標的の対象外となるユーザーは正規のVSDCサイトへリダイレクトされます。それ以外のユーザーはハッキングされたインストーラを受け取りますが、このインストーラは有効なデジタル署名を持っています。

感染メカニズムは次のようになっています。インストールプロセス中に、インストーラは実際のプログラムの他に2つのフォルダを %userappdata% ディレクトリ内に作成します。フォルダの1つにはリモートコントロールアプリケーション TeamViewer 用の通常のファイルセットが含まれています。もう1つのフォルダにはダウンローダ型トロイの木馬が含まれており、このトロイの木馬はリポジトリから悪意のある補助モジュールを取得します。これらはトロイの木馬が感染させたコンピューターへの不正な接続を確立することを可能にする、 BackDoor.TeamViewer として検出される.dllファイルであり、また、Windowsにビルトインされたアンチウイルス保護をすり抜けるためのスクリプトでもあります。

詳細は以下をご覧ください。
リンク