Οι hackers που είχαν παραβιάσει στο παρελθόν τον ιστότοπο του δωρεάν multimedia editor VSDC για να διανείμουν το Win32.Bolik.2 banking Trojan έχουν πλέον αλλάξει την τακτική τους στοχεύοντας VPN υπηρεσίες.
Ενώ στο παρελθόν είχαν παραβιάσει νόμιμους ιστότοπους για να καταλάβουν συνδέσμους λήψης που έχουν προσβληθεί από κακόβουλο λογισμικό, πλέον οι hackers δημιουργούν κλώνους ιστοτόπων για να μεταφέρουν banking Trojans στους υπολογιστές των ανυποψίαστων θυμάτων. Αυτό τους επιτρέπει να εστιάζουν στην προσθήκη δυνατοτήτων στα κακόβουλα εργαλεία τους, αντί να χάνουν χρόνο προσπαθώντας να διεισδύσουν στους servers και τους ιστότοπους νόμιμων επιχειρήσεων.
Πρόσφατο περιστατικό αποτελεί η διανομή του ενεργού Win32.Bolik.2 banking Trojan μέσω του nord-vpn[.]club website. Πρόκειται για ένα σχεδόν τέλειο κλώνο του επίσημου ιστότοπου nordvpn.com που χρησιμοποιείται από τη δημοφιλή υπηρεσία NordVPN VPN. Ο κλωνοποιημένος ιστότοπος διαθέτει επίσης ένα έγκυρο πιστοποιητικό SSL που εκδόθηκε από την ανοικτή αρχή έκδοσης πιστοποιητικών Let’s Encrypt στις 3 Αυγούστου, με ημερομηνία λήξης την 1η Νοεμβρίου.
“Το Win32.Bolik.2 trojan είναι μια βελτιωμένη έκδοση του Win32.Bolik.1 και έχει ιδιότητες πολυμορφικού file virus”, δηλώνουν οι ερευνητές του Doctor Web που εντόπισαν τον ιό.
“Χρησιμοποιώντας αυτό το κακόβουλο λογισμικό, οι hackers μπορούν να εκτελούν web injections, να παρακολουθούν το traffic, να καταγράφουν και να κλέβουν πληροφορίες από διαφορετικά συστήματα τραπεζών-πελατών.”
Οι hackers πίσω από αυτήν την κακόβουλη εκστρατεία ξεκίνησαν τις επιθέσεις τους στις 8 Αυγούστου, εστιάζουν σε αγγλόφωνους στόχους και, σύμφωνα με τους ερευνητές, χιλιάδες είναι οι χρήστες -πιθανά θύματα- που έχουν ήδη επισκεφθεί τον nord-vpn[.]club ιστότοπο σε αναζήτηση συνδέσμου λήψης για το NordVPN client.
Μεγάλη προσοχή στους ιστοτόπους που επισκέπτεστε και στις online λήψεις που πραγματοποιείτε.
