Hakerzy zawsze stosują nowatorskie sposoby implantacji złośliwego oprogramowania na komputerach ludzi. W tym przypadku mamy klonowanie popularnej strony internetowej VPN w celu rozprzestrzenienia trojana bankowego.
Naukowcy z laboratorium antywirusowego Doctor Web odkryli, że przestępcy stworzyli stronę internetową, która była kopią strony należącej do wirtualnej sieci prywatnej NordVPN. Ta niedostępna obecnie strona była prawie identyczna z oficjalną stroną nordvpn.
Uważajcie na fałszywe serwisy VPN
Aby uczynić tę sklonowaną stronę internetową bardziej wiarygodną i pomóc jej w przejściu przez kontrolę bezpieczeństwa przeglądarki, posiadała ona ważny certyfikat SSL. Został on wydany przez organ ds. otwartego certyfikatu Let’s Encrypt. Odwiedzający fałszywą stronę internetową zostali poproszeni o pobranie klienta NordVPN. Prawdziwy program został zainstalowany, aby uniknąć podejrzeń. Jednak obok niego został pobrany trojan bankowy Win32.Bolik.2, który zainfekował system użytkownika.
Trojan Win32.Bolik.2 jest ulepszoną wersją Win32.Bolik.1 i ma cechy wieloskładnikowego wirusa polimorficznego pliku. Korzystając z tego złośliwego oprogramowania, hakerzy mogą wykonywać zastrzyki internetowe, przechwytywanie ruchu, keylogging i kradzież informacji z różnych systemów bank-klient.
— wyjaśnia raport Doctor Web.
Zobacz też: Huawei kupi czipy 5G od MediaTeka? Wiele na to wskazuje
Dyrektor ds. public relations NordVPN, Laura Tyrell, wydała następujące oświadczenie dla Bleeping Computer:
Oszuści internetowi uwielbiają udawać zaufane firmy, gdy próbują oszukać swoje ofiary. Ponieważ NordVPN jest bardzo zaufaną firmą zajmującą się bezpieczeństwem online, oszuści udają, że są również nami. Robią to, aby ukraść pieniądze użytkowników lub zainfekować ich komputery złośliwym oprogramowaniem. Zawsze dokładnie sprawdzaj informacje, jeśli masz nawet najmniejsze podejrzenia. Ponadto, nigdy nie podawaj danych osobowych, które nie mają żadnego związku z naszymi usługami. Jeśli masz jakiekolwiek wątpliwości, zawsze skontaktuj się z NordVPN poprzez jeden z naszych oficjalnych kanałów.
Na szczęście niebezpieczna strona została już zdjęta. Nie oznacza to jednak, że kolejna jej wersja nie pojawi się w przyszłości. Dlatego warto się mieć ciągle na baczności.
Źródło: TechSpot