Falso sito Filmora distribuisce malware

Filmora è un comodo e semplice software di video editing prodotto e distribuito dalla cinese Wondershare Technology

Con una interfaccia estremamente user friendly permette anche a non professionisti del settore di realizzare velocemente video gradevoli.

Nella giornata odierna le attività di monitoraggio svolte nell’ambito del servizio D3Lab Brand Monitor hanno permesso di individuare un nuovo dominio con sito riproducente la grafica delle pagine di Filmora Wondershare dal quale gli utenti scaricano un eseguibile malevolo finalizzato ad installare sui sistemi delle vittime funzionalità di Remote Desktop.

Il dominio fake WONDERSHARE-FILMORA[.]COM riprende palesemente, invertendo l’ordine dei brand prodotto/società, quello lecito da cui è possibile scaricare il software di editing, che tuttavia è un dominio di terzo livello FILMORA.WONDERSHARE[.]COM. Nell’immagine sottostante è possibile osservare la recentissima data di creazione del dominio fake, il 10 luglio 2021, in contrapposizione con quella del dominio lecito, creato nel 2003.

La grafica del sito fake, coma già scritto, riproduce perfettamente quella del sito lecito.

L’eseguibile scaricato dal falso sito è denominato Filmora-Wondershare-Installer.exe e presenta una dimensione dieci volte superiore rispetto all’installer ufficiale di Filmora.

Il comportamento dell’eseguibile Filmora-Wondershare-Installer.exe è il seguente:

  • Al suo interno contiene un file ZIP protetto da password;
  • All’interno del file ZIP ci son due file exe1.exe e exe2.exe;
  • Il processo ViJoy.exe contenuto nel installer ha il compito di scompattare l’archivio e eseguire i due file in precedenza indicati;
  • exe2.exe  è l’installer ufficiale di Filmora che viene eseguito per primo e procede correttamente all’installazione del software;
  • exe1.exe  è invece il malware eseguibile solo su sistemi x64.

Relativamente al file malevolo exe1.exe:

  • È della famiglia ServHelper (famiglia sfruttata usualmente dal gruppo TA505 );
  • È compilato in Go;
  • Si assegna i privilegi di amministratore ed avvia il servizio di desktop remoto su una porta diversa da quella di default di Microsoft Windows;
  • È persistente, ovvero si avvia ad ogni esecuzione di Windows, grazie alla scrittura nel boot loader ed alla modifica delle chiavi di registro;
  • Esegue richieste verso pgf5ga4g4b[.]cn.

Gli indicatori di compromissione di questa campagna sono:

  • Filmora-Wondershare-Installer.exe: 5e12e56a643c71b913ea60f48f28726d
  • exe1.exe: eaee663dfeb2efcd9ec669f5622858e2
  • wondershare-filmora[.]com
  • pgf5ga4g4b[.]cn