Преступники клонируют популярные веб-сайты с программным обеспечением VPN, пытаясь обманом заставить пользователей загрузить вредоносное ПО
Согласно новому исследованию, киберпреступники, ответственные за нарушение и использующие бесплатный сайт редактирования видео VSDC для распространения вредоносных программ, начали создавать поддельные сайты для достижения той же цели.
Раньше группа взламывала законные веб-сайты, чтобы использовать их ссылки для скачивания вредоносных программ, но теперь они обращаются к клонированным веб-сайтам, чтобы отправить банковские трояны Win32.Bolik.2 на ничего не подозревающие пользовательские устройства.
Киберпреступники создали идеальную копию веб-сайта NordVPN, чтобы заставить пользователей загрузить банковский троян Win32.Bolik.2, обнаруженный исследователями в «Доктор Веб».
В дополнение к копии веб-сайта компании, которая практически идентична, клонированный веб-сайт даже имеет действительный сертификат SSL, выданный открытым центром сертификации Let's Encrypt. Это помогает поддельным веб-сайтам выглядеть более законно, а также позволяет им обходить проверки безопасности браузера.

Клонированный сайт
В своем блоге, в котором было объявлено об их открытии, исследователи «Доктор Веб» объяснили, что может делать банковский троян Win32.Bolik.2 после его установки на устройстве пользователя:
«Win32.Bolik.2 Trojan является улучшенной версией Win32.Bolik.1 и обладает качеством многокомпонентного полиморфного файлового вируса. Используя это вредоносное ПО, хакеры могут делать инъекции в Интернете, следить за трафиком, регистрировать ключи и кража информации из различных банковских систем клиентов. "
По словам исследователей, киберпреступники, стоящие за этой злой кампанией, нацелены на англоязычные цели, и тысячи пользователей посетили поддельный веб-сайт NordVPN.
После посещения клонированного сайта пользователям предлагается загрузить клиентов NordVPN, поскольку они находятся на законном сайте. Чтобы избежать подозрений, фальшивый сайт устанавливает реального VPN-клиента, но также оставляет в системе пользователя банковский троян Win32.Bolik.2.
Поскольку тактика группы до сих пор была успешной, ожидайте увидеть другие подобные сайты клонирования, используемые в будущем для заражения систем пользователей вредоносным ПО.
- Мы также выделяем лучшие VPN-сервисы в 2019 году
Через компьютер