skip to Main Content

Cybercrime, falso sito di Filmora veicola ServHelper

D3Lab: Falso sito di Filmora veicola ServHelper. L’exe scaricato contiene uno zip con due eseguibili. Uno serve per installare il software lecito e l’altro è il malware stesso

Un falso sito del software di video editing Filmora Wondershare veicola ServHelper. Lo hanno scoperto gli esperti di cybersecurity di D3Lab. Il dominio riproduce perfettamente quella del sito lecito, da cui è possibile reperire il prodotto. L’eseguibile scaricato, però, è molto più grande di quello ufficiale. Inoltre, contiene un file zip con due exe. Uno effettua correttamente l’installazione del software previsto. L’altro, invece, è il malware stesso e se aperto, attiva la catena d’infezione. Il codice malevolo del cybercrime è una backdoor scritta in Go. Si assegna i privilegi di amministratore ed avvia il servizio di desktop remoto su una porta diversa da quella di default di Microsoft Windows. Inoltre, è persistente: si avvia ad ogni esecuzione di Windows, grazie alla scrittura nel boot loader ed alla modifica delle chiavi di registro.

Back To Top