信息來源:hackernews
黑客們曾經(jīng)通過破壞和濫用免費(fèi)多媒體編輯網(wǎng)站 VSDC 散播 Win32.Bolik.2 銀行木馬,但現(xiàn)在他們改變了攻擊策略。
黑客之前的做法是黑入正規(guī)網(wǎng)站,并將惡意軟件捆綁在下載鏈接中。但現(xiàn)在黑客使用網(wǎng)站克隆,將銀行木馬散播到毫無防備的受害者的計算機(jī)上。
這使他們可以專注于為惡意工具添加功能,而無需再為滲透企業(yè)的服務(wù)器和網(wǎng)站而浪費(fèi)時間。
更重要的是,他們創(chuàng)建的 nord-vpn.club 網(wǎng)站幾乎完美克隆了流行的VPN 服務(wù) NordVPN 的官方網(wǎng)站 nordvpn.com,這使得他們可以大范圍傳播 Win32.Bolik.2 銀行木馬。
成千上萬的潛在受害者
克隆的網(wǎng)站還擁有由開放證書頒發(fā)機(jī)構(gòu) Let’s Encrypt 于 8 月 3 日頒發(fā)的有效 SSL 證書,有效期為 11 月 1 日。
Doctor Web 研究人員稱:“Win32.Bolik.2 木馬是 Win32.Bolik.1 的改進(jìn)版本,具有多組分多態(tài)文件病毒的特性,” 。
“使用這種惡意軟件,黑客可以進(jìn)行網(wǎng)絡(luò)注入、流量攔截,鍵盤記錄和竊取多個 bank-client 系統(tǒng)的信息?!?
這個惡意活動已于 8 月 8 日發(fā)起,他們主要攻擊使用英語的網(wǎng)民,據(jù)研究人員稱,已經(jīng)有數(shù)千人為了下載 NordVPN 客戶端而訪問了 nord-vpn.club 網(wǎng)站。
惡意軟件分析師 Ivan Korolev 稱,在感染用戶的計算機(jī)之后,黑客使用惡意軟件“主要用于網(wǎng)絡(luò)注入/流量監(jiān)控器/后門”。
通過克隆網(wǎng)站傳播惡意軟件
Win32.Bolik.2 和 Trojan.PWS.Stealer.26645 也是由同一個黑客組織于 2019 年 6 月下旬通過下面這兩個虛假網(wǎng)站傳播出去的:
?invoicesoftware360.xyz(原為 invoicesoftware360. com)
?clipoffice.xyz(原為 crystaloffice.com)
早在四月,免費(fèi)多媒體編輯網(wǎng)站 VSDC 就遭遇了黑客攻擊,這實際上是兩年來的第二起事件。下載鏈接被用來散播 Win32.Bolik.2 銀行木馬和Trojan.PWS.Stealer( KPOT stealer)。
下載并安裝受感染的 VSDC 安裝程序的用戶的計算機(jī)可能會被使用多組件多態(tài)的木馬感染,病毒還有可能從瀏覽器,他們的Microsoft帳戶,各種聊天應(yīng)用程序等程序中竊取了敏感信息。