اگر شما نرمافزار ویرایش چندرسانهای VSDC را از اواخر فوریه تا اواخر ماه مارس سال جاری (۲۰۱۹) دانلود کرده باشید، احتمال زیادی وجود دارد که کامپیوتر شما با یک تروجان بانکی و سرقت کنندهی اطلاعات آلودهشده باشد.
وبسایت رسمی نرمافزار VSDC، یکی از محبوبترین برنامههای ویرایش ویدیویی رایگان و تبدیل ویدیوها با بیش از ۱٫۳ میلیون بازدیدکنندهی ماهانه، متأسفانه مجدداً هک شد.
بر اساس گزارش جدید Dr. Web که در تاریخ ۱۱ آوریل ۲۰۱۹ منتشرشده[۱] و با The Hacker News به اشتراک گذاشته شده است، هکرها وبسایت VSDC را hijack کرده و لینکهای دانلود نرمافزار خود را که به نسخههای یک دژافزار منتهی میشود با لینکهای این نرمافزار جایگزین کردند، و بازدیدکنندگان را فریب میدهند تا تروجان بانکی Win32.Bolik.2 و KPOT Stealer را بهجای نرمافزار اصلی دانلود کنند.
موضوع بدتر این است که باوجوداینکه این نرمافزار در میان نرمافزارهای ویرایش کنندهی فیلم بسیار محبوب قرار دارد، اما وبسایت VSDC این نرمافزار را از طریق یک اتصال HTTP ناامن برای دانلود در اختیار کاربران قرار میدهد.
اگرچه مشخص نیست که این بار چگونه هکرها موفق به hijack کردن این وبسایت شدند، اما محققان اعلام کردند که برخلاف حمله سال گذشته، این حمله قصد آلوده کردن تمامی کاربران را نداشته است.
در عوض، محققان Dr.Web یک کد جاوا اسکریپت بر روی وبسایت VSDC پیدا کردند که برای بررسی موقعیت جغرافیایی بازدیدکنندگان و جایگزینی لینک دانلود فقط برای بازدیدکنندگانی از انگلیس، ایالاتمتحده آمریکا، کانادا و استرالیا طراحی شده بود.
کاربران مورد هدف با یک تروجان بانکی خطرناک آلوده میشوند که بهمنظور انجام “تزریق وب(۱)، شنود ترافیک(۲)، ردیابی صفحهکلید(۳) و سرقت اطلاعات از سیستمهای بانک-مشتری(۴) مختلف” طراحیشده است.
علاوه بر این، این مهاجمان تروجان Win32.Bolik.2 را به KPOT Stealer که یک نوع از Trojan.PWS.Stealer است در تاریخ ۲۲ مارس ۲۰۱۹ تغییر دادند که اطلاعات را از مرورگرهای وب، حسابهای کاربری مایکروسافت، چندین سرویس پیامرسان و برخی برنامههای دیگر سرقت میکرد.
به گفته محققان، حداقل ۵۶۵ بازدیدکننده، نرمافزار VSDC آلوده به این تروجان بانکی را دانلود کردهاند، در حالی سیستمهای ۸۳ کاربر مورد سرقت اطلاعات قرار گرفته است.
وبسایت VSDC چندین بار در سالهای گذشته هک شده است. فقط در سال گذشته، هکرهای ناشناخته موفق شدند دسترسی مدیریتی به وبسایت آنها داشته باشند و لینکهای دانلود را جایگزین کردند که درنهایت کامپیوترهای بازدیدکنندگان با AZORult Stealer، X-Key Keylogger و در پشتی DarkVNC آلودهشده است.
اگر قربانی هستید، باید چهکاری انجام دهید؟
لازم به ذکر است که فقط نصب نسخه جدید این نرمافزار روی بستهی موذی از پیش نصبشده، کد موذی قبلی را از سیستمهای آلوده حذف نمیکند.
بنابراین، درصورتیکه شما این نرمافزار را در بازهی زمانی ذکرشده دانلود کردهاید، باید فوراً یک نرمافزار آنتیویروس را به همراه آخرین بهروزرسانی آن نصب کنید و سیستم خود را برای پیدا کردن این دژافزار توسط آن اسکن کنید.
علاوه بر این، به کاربران آسیبدیده نیز بهشدت توصیه میشود که پس از پاکسازی سیستم خود، رمز عبور وبسایتهای شبکههای اجتماعی و بانکی خود را تغییر دهند.
منابع
[۱] https://news.drweb.com/show/?i=13242
[۲] https://thehackernews.com/2019/04/free-video-editing-malware.html