信息来源:hackernews
黑客们曾经通过破坏和滥用免费多媒体编辑网站 VSDC 散播 Win32.Bolik.2 银行木马,但现在他们改变了攻击策略。
黑客之前的做法是黑入正规网站,并将恶意软件捆绑在下载链接中。但现在黑客使用网站克隆,将银行木马散播到毫无防备的受害者的计算机上。
这使他们可以专注于为恶意工具添加功能,而无需再为渗透企业的服务器和网站而浪费时间。
更重要的是,他们创建的 nord-vpn.club 网站几乎完美克隆了流行的VPN 服务 NordVPN 的官方网站 nordvpn.com,这使得他们可以大范围传播 Win32.Bolik.2 银行木马。
成千上万的潜在受害者
克隆的网站还拥有由开放证书颁发机构 Let’s Encrypt 于 8 月 3 日颁发的有效 SSL 证书,有效期为 11 月 1 日。
Doctor Web 研究人员称:“Win32.Bolik.2 木马是 Win32.Bolik.1 的改进版本,具有多组分多态文件病毒的特性,” 。
“使用这种恶意软件,黑客可以进行网络注入、流量拦截,键盘记录和窃取多个 bank-client 系统的信息。”
这个恶意活动已于 8 月 8 日发起,他们主要攻击使用英语的网民,据研究人员称,已经有数千人为了下载 NordVPN 客户端而访问了 nord-vpn.club 网站。
恶意软件分析师 Ivan Korolev 称,在感染用户的计算机之后,黑客使用恶意软件“主要用于网络注入/流量监控器/后门”。
通过克隆网站传播恶意软件
Win32.Bolik.2 和 Trojan.PWS.Stealer.26645 也是由同一个黑客组织于 2019 年 6 月下旬通过下面这两个虚假网站传播出去的:
•invoicesoftware360.xyz(原为 invoicesoftware360. com)
•clipoffice.xyz(原为 crystaloffice.com)
早在四月,免费多媒体编辑网站 VSDC 就遭遇了黑客攻击,这实际上是两年来的第二起事件。下载链接被用来散播 Win32.Bolik.2 银行木马和Trojan.PWS.Stealer( KPOT stealer)。
下载并安装受感染的 VSDC 安装程序的用户的计算机可能会被使用多组件多态的木马感染,病毒还有可能从浏览器,他们的Microsoft帐户,各种聊天应用程序等程序中窃取了敏感信息。
