Hackere bruger falske Nordvpn -websted til at levere bank Trojan

• faktooftware360 [.] xyz (originalen er faktooftware360 [.] com)

NORD -konto legit

О этой странице

Ы зареοистрирykkeаи подозрителный трафик, иходий из Вашей сетии. С помdщ. Sl?

Эта страницabet которые наршают уовиånden. Страunde. Эо этоia.

Источникомапросов может сить вредносноærdighede по, подаred м н н и и и и и и и и и и и и и и и и и и и и и и и и и и и и edet. ызапросов. Если вы используете общий доступ в Интернет, проблема может быть с компьютером с таким же IP-адресом, как у вас. Обратитес к своiel. Подробнfe.

Проверка по сову может таже поvende з € е ы п п п пember, еи вы водит U iel.

Hackere bruger falske Nordvpn -websted til at levere bank Trojan

Hackere bruger falske Nordvpn -websted til at levere bank Trojan

De angribere, der tidligere har overtrådt og misbrugt webstedet for Free Multimedia Editor VSDC for at distribuere Win32.Bolik.2 bank Trojan har nu skiftet deres taktik.

Mens de tidligere hacket legitime websteder for at kapre download -links inficeret med malware, opretter hackerne nu webstedskloner til at levere banktrojanere til intetanende ofrenes computere.

Dette giver dem mulighed for at fokusere på at tilføje kapaciteter til deres ondsindede værktøjer i stedet for at spilde tid ved at prøve at infiltrere servere og websteder for legitime virksomheder.

Mere til det punkt distribuerer de aktivt banken Win32.Bolik.2 bank trojan via Nord-VPN [.] Club -websted, en næsten perfekt klon af den officielle Nordvpn.com -sted brugt af den populære Nordvpn VPN -service.

Klonet Nordvpn -websted

Tusinder af potentielle ofre

Det klonede websted har også et gyldigt SSL -certifikat udstedt af Open Certificate Authority Let’s Encrypt den 3. august med en udløbsdato den 1. november.

“Win32.Bolik.2 Trojan er en forbedret version af Win32.Bolik.1 og har kvaliteter af en multikomponent polymorf filvirus, “Angiv doktor Web -forskere, der opdagede kampagnen.

“Ved hjælp af denne malware kan hackere udføre webinjektioner, trafikafskærmninger, keylogging og stjæle information fra forskellige bank-klientsystemer.”

Operatørerne bag denne ondsindede kampagne har lanceret deres angreb den 8. august, de fokuserer på engelsktalende mål, og ifølge forskerne har tusinder allerede besøgt Nord-VPN [.] Club -websted på jagt efter et downloadlink til Nordvpn -klienten.

“Skuespilleren er interesseret i engelsktalende ofre (USA/CA/UK/AU). Han kan dog gøre undtagelser, hvis offeret er værdifuldt, “fortalte Doctor Web Malware -analytiker Ivan Korolev til BleepingComputer.

Han sagde også, at hackerne bruger malware “hovedsageligt som keylogger/trafik sniffer/bagdør” efter at have inficeret deres ofre med succes.

De inficerede Nordvpn -installatører installerer faktisk Nordvpn -klienten for at undgå at rejse mistanker, mens de dropper Win32.Bolik.2 trojanske ondsindede nyttelast bag kulisserne på det nu kompromitterede system.

Spredning af malware via klonede steder

En cocktail af bank trojanere og informationsstjerne – Win32.Bolik.2 og trojan.PWS.Stealer.26645 (Predator the Thief) – blev også leveret til deres mål af den samme hackergruppe bag denne malware -kampagne ved hjælp af to andre klonede websteder i slutningen af ​​juni 2019:

• faktooftware360 [.] xyz (originalen er faktooftware360 [.] com)

• clipoffice [.] xyz (originalen er CrystalOffice [.] com)

Dette er ikke den første kampagne, som disse dårlige skuespillere har brugt til at inficere deres ofre med malware, da de som nævnt i begyndelsen også plejede.

Tilbage i april blev webstedet for den gratis multimedia -editor VSDC brudt af hackerne, anden gang på to år faktisk, hvor download -linkene blev brugt til at distribuere Win32.Bolik.2 bank Trojan og trojan.PWS.Stealer (KPOT SEALER) Info Stealer.

Brugere, der downloadede og installerede den kompromitterede VSDC-installationsprogram, inficerede potentielt deres computere med multi-komponent polymorfe bank Trojan og havde følsom info stjålet fra browsere, deres Microsoft-konti, forskellige messenger-apps og flere andre programmer.

Indikatorer for kompromis med Win32.Bolik.2, Trojan.PWS.Stealer.26645 (rovdyr tyven), azorult og bagdør.HRDP.32 prøver såvel som netværksindikatorer inklusive kommando-and-control-server og distributionsdomæner leveres af Doctor Webs forskere på GitHub.

Opdatering 20. august 09:07 EDT: Nordvpns leder af public relations Laura Tyrell sendte BleepingComputer følgende kommentar:

Online svindlere elsker at foregive at være tillid til virksomheder, når de prøver at narre deres ofre. Fordi Nordvpn er et så bredt betroet online sikkerhedsfirma, foregiver svindlere også at være os. De gør dette for at stjæle brugernes penge eller inficere deres pc’er med malware.

Kontroller altid information om dobbeltkontrol, hvis du endda har den mindste mistanke. Giv aldrig personlige oplysninger, der ikke har nogen relation til vores tjenester eller overfør dine penge via ledningstjeneste. Hvis du er i tvivl, skal du altid kontakte Nordvpn gennem en af ​​vores officielle kanaler.