Киберпреступники, ответственные за взлом и использование веб-сайта бесплатного видеоредактора VSDC для распространения вредоносных программ, начали создавать поддельные веб-сайты для достижения той же цели.
Ранее группа взламывала законные веб-сайты, чтобы использовать их ссылки для загрузки вредоносных программ, но теперь они обратились к клонированным веб-сайтам для доставки банковского трояна Win32.Bolik.2 на устройства ничего не подозревающих пользователей.
Киберпреступники создали идеальный клон сайта NordVPN, чтобы обманом заставить пользователей загрузить банковский троян Win32.Bolik.2, который был обнаружен исследователями в «Доктор Веб».
- Вредоносные программы мобильного банкинга достигли новых высот
- Предприятия сталкиваются с серьезной угрозой со стороны финансовых вредоносных программ
- Использование VPN в Китае, наконец, становится легче
В дополнение к тому, что клонированный веб-сайт является почти точной копией веб-сайта компании, он даже имеет действительный сертификат SSL, выданный открытым центром сертификации Let Encrypt. Это помогает поддельному сайту выглядеть более легитимным, а также позволяет обходить проверки безопасности браузера.
Клонированные сайты
В своем блоге, в котором было объявлено об их открытии, исследователи «Доктор Веб» объяснили, на что способен банковский троян Win32.Bolik.2 после установки на пользовательское устройство, сказав:
«Троян Win32.Bolik.2 является улучшенной версией Win32.Bolik.1 и обладает качествами многокомпонентного полиморфного файлового вируса. Используя это вредоносное ПО, хакеры могут выполнять веб-инъекции, перехватывать трафик, вести кейлог и красть информацию из разных систем банка-клиента ».
Киберпреступники, стоящие за этой вредоносной кампанией, сосредоточены на англоязычных целях, и тысячи исследователей уже посетили поддельный веб-сайт NordVPN, по словам исследователей.
При посещении клонированного сайта пользователям предлагается загрузить клиент NordVPN так же, как они будут на легальном сайте. Чтобы избежать подозрений, фальшивый сайт устанавливает реальный VPN-клиент, но также оставляет банковский троян Win32.Bolik.2 в системе пользователя.
Поскольку тактика группы до сих пор была успешной, можно ожидать, что в будущем будут использоваться другие подобные клонированные сайты для заражения пользовательских систем вредоносным ПО.
- Мы также выделили лучшие VPN-сервисы 2019 года
Через Bleeping Computer
Add comment