信息來源:hackernews
黑客們曾經(jīng)通過破壞和濫用免費多媒體編輯網(wǎng)站 VSDC 散播 Win32.Bolik.2 銀行木馬����,但現(xiàn)在他們改變了攻擊策略���。
黑客之前的做法是黑入正規(guī)網(wǎng)站���,并將惡意軟件捆綁在下載鏈接中。但現(xiàn)在黑客使用網(wǎng)站克隆����,將銀行木馬散播到毫無防備的受害者的計算機上。
這使他們可以專注于為惡意工具添加功能����,而無需再為滲透企業(yè)的服務器和網(wǎng)站而浪費時間。
更重要的是����,他們創(chuàng)建的 nord-vpn.club 網(wǎng)站幾乎完美克隆了流行的VPN 服務 NordVPN 的官方網(wǎng)站 nordvpn.com,這使得他們可以大范圍傳播 Win32.Bolik.2 銀行木馬����。
成千上萬的潛在受害者
克隆的網(wǎng)站還擁有由開放證書頒發(fā)機構 Let’s Encrypt 于 8 月 3 日頒發(fā)的有效 SSL 證書,有效期為 11 月 1 日���。
Doctor Web 研究人員稱:“Win32.Bolik.2 木馬是 Win32.Bolik.1 的改進版本����,具有多組分多態(tài)文件病毒的特性�,” 。
“使用這種惡意軟件�,黑客可以進行網(wǎng)絡注入、流量攔截���,鍵盤記錄和竊取多個 bank-client 系統(tǒng)的信息���。”
這個惡意活動已于 8 月 8 日發(fā)起�,他們主要攻擊使用英語的網(wǎng)民,據(jù)研究人員稱�����,已經(jīng)有數(shù)千人為了下載 NordVPN 客戶端而訪問了 nord-vpn.club 網(wǎng)站����。
惡意軟件分析師 Ivan Korolev 稱���,在感染用戶的計算機之后��,黑客使用惡意軟件“主要用于網(wǎng)絡注入/流量監(jiān)控器/后門”�����。
通過克隆網(wǎng)站傳播惡意軟件
Win32.Bolik.2 和 Trojan.PWS.Stealer.26645 也是由同一個黑客組織于 2019 年 6 月下旬通過下面這兩個虛假網(wǎng)站傳播出去的:
?invoicesoftware360.xyz(原為 invoicesoftware360. com)
?clipoffice.xyz(原為 crystaloffice.com)
早在四月����,免費多媒體編輯網(wǎng)站 VSDC 就遭遇了黑客攻擊�����,這實際上是兩年來的第二起事件����。下載鏈接被用來散播 Win32.Bolik.2 銀行木馬和Trojan.PWS.Stealer( KPOT stealer)。
下載并安裝受感染的 VSDC 安裝程序的用戶的計算機可能會被使用多組件多態(tài)的木馬感染���,病毒還有可能從瀏覽器�,他們的Microsoft帳戶,各種聊天應用程序等程序中竊取了敏感信息�。
