Przestępcy klonują witrynę popularnego oprogramowania VPN, aby nakłonić użytkowników do pobrania złośliwego oprogramowania.
Według nowych badań cyberprzestępcy odpowiedzialni za naruszenie i wykorzystanie strony internetowej bezpłatnego edytora wideo VSDC do dystrybucji złośliwego oprogramowania zaczęli tworzyć fałszywe strony internetowe, aby osiągnąć ten sam cel.
Wcześniej grupa włamała się do legalnych stron internetowych, aby wykorzystać swoje linki do pobierania w celu rozprzestrzeniania złośliwego oprogramowania, ale teraz przeszła do klonowania stron internetowych w celu dostarczenia trojana bankowego Win32.Bolik.2 na urządzenia niczego niepodejrzewających użytkowników.
Cyberprzestępcy stworzyli doskonały klon strony internetowej NordVPN, aby oszukać użytkowników, aby pobrali trojana bankowego Win32.Bolik.2, który został odkryty przez naukowców z Doctor Web.
Oprócz tego, że jest prawie dokładną kopią strony internetowej firmy, sklonowana witryna ma nawet ważny certyfikat SSL wydany przez otwarty urząd certyfikacji Let's Encrypt. Pomaga to fałszywej stronie internetowej wyglądać na bardziej uzasadnioną, jednocześnie umożliwiając omijanie kontroli bezpieczeństwa przeglądarki.
Sklonowane strony internetowe
W poście na blogu ogłaszającym ich odkrycie naukowcy Doctor Web wyjaśnili, co potrafi trojan bankowy Win32.Bolik.2 po zainstalowaniu na urządzeniu użytkownika, mówiąc:
„Trojan Win32.Bolik.2 jest ulepszoną wersją Win32.Bolik.1 i ma cechy wieloskładnikowego wirusa polimorficznego pliku. Za pomocą tego złośliwego oprogramowania hakerzy mogą wykonywać iniekcje internetowe, przechwytywać ruch, rejestrować keylog i kraść informacje z różnych systemów klientów bankowych. ”
Według badaczy cyberprzestępcy odpowiedzialni za tę złośliwą kampanię koncentrują się na anglojęzycznych celach, a tysiące użytkowników już odwiedziło fałszywą stronę internetową NordVPN.
Po odwiedzeniu sklonowanej witryny użytkownicy są proszeni o pobranie klienta NordVPN, tak jak na legalnej stronie. Aby uniknąć podejrzeń, fałszywa strona instaluje rzeczywistego klienta VPN, ale również pozostawia trojana bankowego Win32.Bolik.2 w systemie użytkownika.
Ponieważ dotychczasowe taktyki grupy były skuteczne, spodziewaj się, że inne podobne sklonowane strony będą wykorzystywane do infekowania systemów użytkownika złośliwym oprogramowaniem w przyszłości.
- Podkreśliliśmy również najlepsze usługi VPN z 2019 r
Przez komputer odpowietrzający
