- Den kända kriminella gruppen har uppdaterat sin banktrojankampanj med en ny webbplats.
- Skådespelarna har skapat NordVPN-klonwebbplatser och andra produkter och infekterat systemet med Bolik.
- Webbplatsen ser mycket övertygande ut, har en URL som liknar originalet och har ett giltigt SSL-certifikat.
Enligt en rapport av Dr. Web Antivirus Forskare, samma aktörer som kompromissade med VSDC-videoredigeringswebbplatsen för att uppmuntra trojaner i april, använder nu en klon av NordVPN-webbplatsen för att göra samma sak. Banktrojan som distribueras i “Win32.Bolik.2” är mycket farligt, vilket är ett multikomponentvirus som kan fånga trafik, keylogging, kodinjicering och datautfiltrering. Ännu värre är att den klonade webbplatsen inte bara ser mycket lik originalet utan har också ett giltigt SSL-certifikat och domännamnet ser legitimt ut vid första anblicken.
Betesida, bildkälla: news.drweb.comWebben har registrerat de första tecknen på kampanjaktivitet den 8 augusti 2019, och den falska webbplatsen har redan tusentals besökare. Skådespelarna använder dock inte bara NordVPN för att länka sina offer. De har skapat liknande beteswebbplatser för Invoice 360, och även för Crystal Office, två populära kontorprogram som har möjlighet att locka offer genom forum och inlägg i sociala medier. Naturligtvis är skicka specialerbjudanden för populära produkter via skräppost också ett bra sätt att skicka ny trafik till dessa falska webbplatser, och denna metod bidrar också till “slarv” -faktorn.
För närvarande finns den klonade webbplatsen fortfarande, även om AV-verktyget har indexerat den i deras svartlista, så du kommer sannolikt att få en varning om du försöker besöka dem. Doctor Web har försökt meddela värdtjänsterna för skadliga webbplatser så att de tas bort omedelbart. Forskarteamet har följt vissa grupper sedan april, och de är samma människor som räddade dagen med Bolik-infektioner som kom via VDSC-enheter. VDSC-administratören insåg inte att nedladdningssektionen på deras webbplats hade äventyrats, så det fanns minst 600 fall av infektion innan Dr. Webbinloggning.
I den senaste kampanjen skickar fortfarande decoy-webbplatsen körbar programvara så att offren inte misstänker att något konstigt händer. Som sagt kommer du fortfarande att få NordVPN från en falsk plattform, som för närvarande påstås baseras på ett extraordinärt “1-års gratis” erbjudande. Detta erbjudande löper ut på cirka nio timmar, vilket skapar ett falskt nödläge som uppmuntrar offren att gå vidare utan att uppmärksamma tydliga tecken på bedrägeri. Om du är intresserad av att köpa NordVPN eller annan programvara, använd en pålitlig sökmotor för att hitta produktens officiella domän och lita inte på länkar som delas någon annanstans.
Något att säga ovan? Skriv dina tankar i kommentarerna nedan, och hjälp oss att varna fler genom att dela detta inlägg genom våra sociala händelser, på Facebook och Twitter.
