Un site de logiciels populaires piraté pour rediriger les utilisateurs vers des logiciels malveillant

Les utilisateurs, ayant téléchargé le logiciel VSDC pendant ces quelques jours, ont été infectés par 3 souches différentes de logiciels malveillants. Selon Qihoo, les victimes ont reçu un fichier JavaScript déguisé en logiciel VSDC. Ce fichier téléchargerait un script PowerShell qui, à son tour, téléchargerait trois autres fichiers: un infostealer, un keylogger et un trojan d’accès à distance (RAT).

L’infostealer est capable de récupérer les mots de passe du compte Telegram, les mots de passe du compte Steam, les chats Skype, les données du portefeuille Electrum et il peut également prendre des captures d’écran du PC de la victime. Toutes les données collectées sont téléchargées sur le serveur d’un attaquant sursystem-check.xyz. Le keylogger n’a rien de spécial, il collecte les frappes de clavier et les télécharge surwqaz.site.

Qihoo décrit le troisième fichier comme un module VNC qui permet à l’attaquant de contrôler le PC d’un utilisateur infecté. Mais alors que Qihoo n’a pas identifié spécifiquement ce malware, Ivan Korolev, un chercheur en sécurité chez Dr.Web, estime que le fichier était une version de DarkVNC, un RAT moins connu. L’entreprise VSDC a assuré qu’elle avait détecté ces attaques et qu’elle avait supprimé rapidement les liens malveillants. Il ne se passe pas une semaine sans qu’on apprenne qu’un site a été compromis pour propager des logiciels malveillants. Les déchets ne font que s’agrandir et se diversifier tandis que la poubelle commence à déborder de partout.