Scoperto un falso sito del software di video editing Filmora Wondershare che distribuisce malware. Lo hanno scoperto gli esperti di cybersecurity di D3Lab che, attraverso le loro attività di monitoraggio, hanno individuato un nuovo dominio con sito riproducente la grafica delle pagine di Filmora Wondershare dal quale gli utenti scaricano un eseguibile malevolo finalizzato ad installare sui sistemi delle vittime funzionalità di Remote Desktop.

Il dominio fake WONDERSHARE-FILMORA[.]COM riproduce perfettamente, invertendo l’ordine dei brand prodotto/società, quello lecito da cui è possibile scaricare il software di editing, che tuttavia è un dominio di terzo livello FILMORA.WONDERSHARE[.]COM.

La creazione del dominio fake è recentissima: risale al 10 luglio 2021, in contrapposizione con quella del dominio lecito, creato nel 2003. La grafica del sito fake riproduce perfettamente quella del sito lecito.

L’eseguibile scaricato dal falso sito presenta una dimensione dieci volte superiore rispetto all’installer ufficiale di Filmora e contiene un file zip con due exe eseguibili. Uno installa il software e l’altro è il malware stesso che, una volta aperto, attiva la catena d’infezione.

Il codice malevolo è una backdoor scritta in Go che si assegna i privilegi di amministratore ed avvia il servizio di desktop remoto su una porta diversa da quella di default di Microsoft Windows. Inoltre, è persistente: ad ogni esecuzione di Windows si avvia grazie alla scrittura nel boot loader e alla modifica delle chiavi di registro.

Relativamente al file malevolo exe1.exe:

  • È della famiglia ServHelper (famiglia sfruttata usualmente dal gruppo TA505 );
  • È compilato in Go;
  • Si assegna i privilegi di amministratore ed avvia il servizio di desktop remoto su una porta diversa da quella di default di Microsoft Windows;
  • È persistente, ovvero si avvia ad ogni esecuzione di Windows, grazie alla scrittura nel boot loader ed alla modifica delle chiavi di registro;
  • Esegue richieste verso pgf5ga4g4b[.]cn.

Gli indicatori di compromissione di questa campagna sono:

  • Filmora-Wondershare-Installer.exe: 5e12e56a643c71b913ea60f48f28726d
  • exe1.exe: eaee663dfeb2efcd9ec669f5622858e2
  • wondershare-filmora[.]com
  • pgf5ga4g4b[.]cn

 

https://www.d3lab.net/falsa-sito-filmora-distrubuisce-malware/

https://www.difesaesicurezza.com/cyber/cybercrime-falso-sito-di-filmora-veicola-servhelper/

Twitter
Visit Us
LinkedIn
Share
YOUTUBE