WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
Website phần mềm chỉnh sửa video phổ biến bị tấn công để phát tán banking trojan
Từ cuối tháng 2/2019 đến cuối tháng 3/2019 nếu bạn đã download phần mềm chỉnh sửa VSDC, nhiều khả năng máy tính của bạn đã bị nhiễm banking trojan và trojan đánh cắp thông tin.
VSDC là một ứng dụng chỉnh sửa và chuyển đổi video miễn phí rất phổ biến với hơn 1,3 triệu download hàng tháng. Không may trang web chính thức của phần mềm này một lần nữa lại bị hack.
Theo báo cáo mới công bố của Dr. Web, tin tặc đã chiếm quyền điều khiển trang web VSDC và thay thế link tải VSDC bằng link tải malware. Do đó, khách truy cập bị lừa cài đặt banking trojan Win32.Bolik.2 và trojan đánh cắp thông tin KPOT.
Điều đáng chú ý là mặc dù rất phổ biến, trang web VSDC cung cấp link download qua kết nối HTTP không an toàn.
Hiện tại vẫn chưa rõ cách thức hacker chiếm quyền điều khiển website, nhưng theo các nhà nghiên cứu, hacker không có ý định lây nhiễm trojan tới tất cả người dùng.
Thay vào đó, các nhà nghiên cứu đã tìm thấy một mã JavaScript độc hại trên trang web có chức năng kiểm tra vị trí địa lý của khách truy cập và các link download bị thay thế chỉ nhắm tới người dùng tại Anh, Mỹ, Canada và Úc.
Trang web đã phát tán malware trong một tháng
Link tải mã độc đã tồn tại trên trang web mà không được phát hiện từ ngày 21/2/2019 đến ngày 23/3/2019 cho đến khi các nhà phát triển VSDC được các chuyên gia cảnh báo nguy cơ.
Người dùng bị lừa tải về máy một loại banking trojan nguy hiểm có khả năng thực hiện các hành vi như “tấn công web injection, chặn lưu lượng truy cập, ghi lại thao tác bàn phím và đánh cắp thông tin ngân hàng”.
Ngoài ra, vào ngày 22/3, những kẻ tấn công còn thay đổi trojan Win32.Bolik.2 thành KPOT Stealer, một biến thể của Trojan.PWS.Stealer để đánh cắp thông tin từ trình duyệt web, tài khoản Microsoft, một số dịch vụ nhắn tin và chương trình khác.
Có ít nhất 565 người đã tải xuống phần mềm VSDC bị nhiễm trojan ngân hàng và 83 người đã bị đánh cắp thông tin.
Là nạn nhân, người dùng phải làm gì?
Việc cài đặt phiên bản cập nhật “sạch” không giúp bạn “thoát” khỏi malware từ các hệ thống bị nhiễm.
Vì vậy, trong trường hợp đã tải xuống phần mềm trong khoảng thời gian từ 21/2/2019 đến ngày 23/3/2019, bạn nên cài đặt ngay phần mềm diệt virus phiên bản mới nhất và tiến hành quét máy tính để diệt malware.
Bên cạnh đó, người dùng bị ảnh hưởng cũng được khuyến cáo đổi mật khẩu các trang web truyền thông xã hội và ngân hàng quan trọng bằng cách sử dụng một thiết bị khác hoặc trên hệ thống đã được diệt malware.
Theo báo cáo mới công bố của Dr. Web, tin tặc đã chiếm quyền điều khiển trang web VSDC và thay thế link tải VSDC bằng link tải malware. Do đó, khách truy cập bị lừa cài đặt banking trojan Win32.Bolik.2 và trojan đánh cắp thông tin KPOT.
Điều đáng chú ý là mặc dù rất phổ biến, trang web VSDC cung cấp link download qua kết nối HTTP không an toàn.
Hiện tại vẫn chưa rõ cách thức hacker chiếm quyền điều khiển website, nhưng theo các nhà nghiên cứu, hacker không có ý định lây nhiễm trojan tới tất cả người dùng.
Thay vào đó, các nhà nghiên cứu đã tìm thấy một mã JavaScript độc hại trên trang web có chức năng kiểm tra vị trí địa lý của khách truy cập và các link download bị thay thế chỉ nhắm tới người dùng tại Anh, Mỹ, Canada và Úc.
Trang web đã phát tán malware trong một tháng
Link tải mã độc đã tồn tại trên trang web mà không được phát hiện từ ngày 21/2/2019 đến ngày 23/3/2019 cho đến khi các nhà phát triển VSDC được các chuyên gia cảnh báo nguy cơ.
Người dùng bị lừa tải về máy một loại banking trojan nguy hiểm có khả năng thực hiện các hành vi như “tấn công web injection, chặn lưu lượng truy cập, ghi lại thao tác bàn phím và đánh cắp thông tin ngân hàng”.
Ngoài ra, vào ngày 22/3, những kẻ tấn công còn thay đổi trojan Win32.Bolik.2 thành KPOT Stealer, một biến thể của Trojan.PWS.Stealer để đánh cắp thông tin từ trình duyệt web, tài khoản Microsoft, một số dịch vụ nhắn tin và chương trình khác.
Có ít nhất 565 người đã tải xuống phần mềm VSDC bị nhiễm trojan ngân hàng và 83 người đã bị đánh cắp thông tin.
Là nạn nhân, người dùng phải làm gì?
Việc cài đặt phiên bản cập nhật “sạch” không giúp bạn “thoát” khỏi malware từ các hệ thống bị nhiễm.
Vì vậy, trong trường hợp đã tải xuống phần mềm trong khoảng thời gian từ 21/2/2019 đến ngày 23/3/2019, bạn nên cài đặt ngay phần mềm diệt virus phiên bản mới nhất và tiến hành quét máy tính để diệt malware.
Bên cạnh đó, người dùng bị ảnh hưởng cũng được khuyến cáo đổi mật khẩu các trang web truyền thông xã hội và ngân hàng quan trọng bằng cách sử dụng một thiết bị khác hoặc trên hệ thống đã được diệt malware.
Theo The Hacker News