Bezpečnost | VPN | Malware

Hackeři vytvořili falešný web NordVPN, přes který šířili zákeřný bankovní malware

Hackeři prakticky neustále vymýšlejí způsoby, jak se dostat do počítačů nic netušících uživatelů. Jedním z jejich posledních kousků je vytvoření falešných webových stránek poskytovatele služeb osobní virtuální privátní sítě NordVPN.

Jak zjistili bezpečnostní experti z Doctor Web, útočníci nejprve na doméně nord-vpn.club spustili téměř identickou kopii oficiálních stránek nordvpn.com. Aby svému klonu dodali důvěru, zajistili si dokonce platný SSL certifikát, vydaný otevřenou certifikační autoritou Let's Encrypt.

Falešný web šířil Trojského koně

Návštěvníci falešného webu pak byly vyzýváni ke stažení a instalaci aplikace, vydávané za VPN klienta služby NordVPN. Ten byl také skutečně nainstalován, aby uživatel neměl důvod k podezření. Součástí balíčku však byl také bankovní Trojský kůň Win32.Bolik.2, který se infiltroval do systému.

„Trojan Win32.Bolik.2 je vylepšenou verzí Win32.Bolik.1, která má vlastnosti polymorfního viru. Pomocí tohoto malwaru mohou hackeři provádět injektáž webového provozu, odposlouchávat síťový provoz, zaznamenávat stisknuté klávesy a krást informace z různých bankovních klientských systémů.“ vysvětluje Doctor Web ve své zprávě.

Falešné webové stránky s účelem šířit škodlivou aplikaci cílily primárně na anglicky mluvící publikum. Dle dostupných informací byly spuštěny 8. srpna 2019 a během pouhých deseti dnů zaznamenaly několik tisíc návštěv.

Kopírování webů jako infiltrační strategie

Není bez zajímavosti, že počátkem tohoto roku stejná hackerská skupina, která je v pozadí této kampaně, kompromitovala webové stránky bezplatného video editoru VSDC s cílem distribuovat stejný bankovní malware.

Titíž útočníci mají na svém kontě také falešné webové stránky invoicesoftware360.xyz (kopie webu invoicesoftware360.com) a clipoffice.xyz (kopie crystaloffice.com), přes které byl trojan Win32.Bolik.2šířen společně s malwarem Trojan.PWS.Stealer.26645.

Tisková mluvčí NordVPN k události uvedla: „Když se online podvodníci snaží oklamat své oběti, rádi předstírají, že jsou důvěryhodnými společnostmi. Protože NordVPN je široce důvěryhodná firma, podvodníci se za ní vydávají. Dělají to proto, aby ukradli peníze uživatelů nebo infikovali jejich počítače malwarem.“

Váš názor Další článek: Nečekaný objev: Kometa 67P/Čurjumov-Gerasimenko měla vlastní Čurměsíc

Témata článku: , , , , , , , , , , , , , , ,