وب‌سایت مربوط به یک نرم‌افزار ویرایش فیلم معروف (VSDC) به‌منظور گسترانیدن یک تروجان بانکی موردحمله قرار گرفت.

اگر شما نرم‌افزار ویرایش چندرسانه‌ای VSDC را از اواخر فوریه تا اواخر ماه مارس سال جاری (۲۰۱۹) دانلود کرده باشید، احتمال زیادی وجود دارد که کامپیوتر شما با یک تروجان بانکی و سرقت کننده‌ی اطلاعات آلوده‌شده باشد.

وب‌سایت رسمی نرم‌افزار VSDC، یکی از محبوب‌ترین برنامه‌های ویرایش ویدیویی رایگان و تبدیل ویدیوها با بیش از ۱٫۳ میلیون بازدیدکننده‌ی ماهانه، متأسفانه مجدداً هک شد.

بر اساس گزارش جدید Dr. Web که در تاریخ ۱۱ آوریل ۲۰۱۹ منتشرشده[۱] و با The Hacker News به اشتراک گذاشته شده است، هکرها وب‌سایت VSDC را hijack کرده و لینک‌های دانلود نرم‌افزار خود را که به نسخه‌های یک دژافزار منتهی می‌شود با لینک‌های این نرم‌افزار جایگزین کردند، و بازدیدکنندگان را فریب می‌دهند تا تروجان بانکی Win32.Bolik.2 و KPOT Stealer را به‌جای نرم‌افزار اصلی دانلود کنند.

موضوع بدتر این است که باوجوداینکه این نرم‌افزار در میان نرم‌افزارهای ویرایش کننده‌ی فیلم بسیار محبوب قرار دارد، اما وب‌سایت VSDC این نرم‌افزار را از طریق یک اتصال HTTP ناامن برای دانلود در اختیار کاربران قرار می‌دهد.

اگرچه مشخص نیست که این بار چگونه هکرها موفق به hijack کردن این وب‌سایت شدند، اما محققان اعلام کردند که برخلاف حمله سال گذشته، این حمله قصد آلوده کردن تمامی کاربران را نداشته است.

در عوض، محققان Dr.Web یک کد جاوا اسکریپت بر روی وب‌سایت VSDC پیدا کردند که برای بررسی موقعیت جغرافیایی بازدیدکنندگان و جایگزینی لینک دانلود فقط برای بازدیدکنندگانی از انگلیس، ایالات‌متحده آمریکا، کانادا و استرالیا طراحی ‌شده بود.

وب‌سایت ناامن VSDC به مدت یک ماه در حال گسترش این تروجان بود.

کد موذی‌ای که در این وب‌سایت قرار داده‌ شده بود، تقریباً یک ماه – بین ۲۱ فوریه تا ۲۳ مارس ۲۰۱۹ و تا چند روز پیش از زمانی که محققان آن را کشف کنند و به توسعه‌دهندگان VSDC اطلاع دهند، نادیده گرفته شده بود.

کاربران مورد هدف با یک تروجان بانکی خطرناک آلوده می‌شوند که به‌منظور انجام “تزریق وب^(۱)، شنود ترافیک^(۲)، ردیابی صفحه‌کلید^(۳) و سرقت اطلاعات از سیستم‌های بانک-مشتری^(۴) مختلف” طراحی‌شده است.

علاوه بر این، این مهاجمان تروجان Win32.Bolik.2 را به KPOT Stealer که یک نوع از Trojan.PWS.Stealer است در تاریخ ۲۲ مارس ۲۰۱۹ تغییر دادند که اطلاعات را از مرورگرهای وب، حساب‌های کاربری مایکروسافت، چندین سرویس پیام‌رسان و برخی برنامه‌های دیگر سرقت می‌کرد.

به گفته محققان، حداقل ۵۶۵ بازدیدکننده، نرم‌افزار VSDC آلوده به این تروجان بانکی را دانلود کرده‌اند، در حالی سیستم‌های ۸۳ کاربر مورد سرقت اطلاعات قرار گرفته است.

وب‌سایت VSDC چندین بار در سال‌های گذشته هک شده است. فقط در سال گذشته، هکرهای ناشناخته موفق شدند دسترسی مدیریتی به وب‌سایت آن‌ها داشته باشند و لینک‌های دانلود را جایگزین کردند که درنهایت کامپیوترهای بازدیدکنندگان با AZORult Stealer، X-Key Keylogger و در پشتی DarkVNC آلوده‌شده است.

اگر قربانی هستید، باید چه‌کاری انجام دهید؟

لازم به ذکر است که فقط نصب نسخه جدید این نرم‌افزار روی بسته‌ی موذی از پیش نصب‌شده، کد موذی قبلی را از سیستم‌های آلوده حذف نمی‌کند.

بنابراین، درصورتی‌که شما این نرم‌افزار را در بازه‌ی زمانی ذکرشده دانلود کرده‌اید، باید فوراً یک نرم‌افزار آنتی‌ویروس را به همراه آخرین به‌روزرسانی آن نصب کنید و سیستم خود را برای پیدا کردن این دژافزار توسط آن اسکن کنید.

علاوه بر این، به کاربران آسیب‌دیده نیز به‌شدت توصیه می‌شود که پس از پاک‌سازی سیستم خود، رمز عبور وب‌سایت‌های شبکه‌های اجتماعی و بانکی خود را تغییر دهند.

منابع

[۱] https://news.drweb.com/show/?i=13242

[۲] https://thehackernews.com/2019/04/free-video-editing-malware.html

(۱) web injections
(۲) traffic intercepts
(۳) key-logging
(۴) bank-client