Foro de elhacker.net

Foros Generales => Noticias => Mensaje iniciado por: r32 en 12 Julio 2018, 20:13 pm


Título: Sitio popular de software pirateado para redirigir a los usuarios a Keylogger, I
Publicado por: r32 en 12 Julio 2018, 20:13 pm
Los piratas informáticos han violado el sitio web de VSDC, una popular empresa que ofrece software gratuito de edición y conversión de audio y video.

Se han registrado tres incidentes diferentes durante los cuales los piratas informáticos modificaron los enlaces de descarga en el sitio web de VSDC con enlaces que iniciaron descargas desde los servidores operados por los atacantes.

A continuación se muestra una línea de tiempo de los hacks y los swaps de enlaces, según la firma china de seguridad Qihoo 360 Total Security, cuyos expertos detectaron los secuestros la semana pasada.

Primer hack: 18 de junio
Enlace de descarga intercambiado con: hxxp: //5.79.100.218/_files/file.php

Segundo hack: 2 de julio
Enlace de descarga intercambiado con: hxxp: //drbillbailey.us/tw/file.php

Tercer hack: 6 de julio
Enlace de descarga intercambiado con: hxxp: //drbillbailey.us/tw/file.php
Los expertos de Qihoo dijeron que el primer y el tercer secuestro fueron los que afectaron a la mayoría de los usuarios.

Usuarios infectados con tres cepas de malware diferentes
Los usuarios que descargaron el software VSDC en esos días han sido infectados con tres cepas de malware diferentes. Qihoo dice que las víctimas recibieron un archivo javascript disfrazado como software VSDC. Este archivo descargaría un script de PowerShell, que, a su vez, descargaría otros tres archivos: infostealer, keylogger y un troyano de acceso remoto (RAT).

Infostealer es capaz de recuperar contraseñas de cuenta de Telegram, contraseñas de cuenta de Steam, chats de Skype, datos de monedero Electrum, y también puede tomar capturas de pantalla de la PC de la víctima. Todos los datos recopilados se cargan en el servidor de un atacante en system-check.xyz

El keylogger no tiene nada de especial, recolecta las pulsaciones de teclas y las carga en wqaz.site.

Qihoo describe el tercer archivo como un módulo VNC que otorga al atacante control sobre la PC de un usuario infectado. Pero aunque Qihoo no identificó específicamente este malware, Ivan Korolev, un investigador de seguridad con Dr.Web, dice que el archivo era una versión de DarkVNC, una RAT menos conocida.

Más información: https://www.bleepingcomputer.com/news/security/popular-software-site-hacked-to-redirect-users-to-keylogger-infostealer-more/

Saludos.


Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines