黑客使用虚假网站 NordVPN 散播银行木马病毒

黑客们曾经通过破坏和滥用免费多媒体编辑网站 VSDC 散播 Win32.Bolik.2 银行木马，但现在他们改变了攻击策略。

黑客之前的做法是黑入正规网站，并将恶意软件捆绑在下载链接中。但现在黑客使用网站克隆，将银行木马散播到毫无防备的受害者的计算机上。

这使他们可以专注于为恶意工具添加功能，而无需再为渗透企业的服务器和网站而浪费时间。

更重要的是，他们创建的 nord-vpn.club 网站几乎完美克隆了流行的VPN 服务 NordVPN 的官方网站 nordvpn.com，这使得他们可以大范围传播 Win32.Bolik.2 银行木马。

成千上万的潜在受害者

克隆的网站还拥有由开放证书颁发机构 Let’s Encrypt 于 8 月 3 日颁发的有效 SSL 证书，有效期为 11 月 1 日。

Doctor Web 研究人员称：“Win32.Bolik.2 木马是 Win32.Bolik.1 的改进版本，具有多组分多态文件病毒的特性，” 。

“使用这种恶意软件，黑客可以进行网络注入、流量拦截，键盘记录和窃取多个 bank-client 系统的信息。”

这个恶意活动已于 8 月 8 日发起，他们主要攻击使用英语的网民，据研究人员称，已经有数千人为了下载 NordVPN 客户端而访问了 nord-vpn.club 网站。

制造 Bolik 蠕虫的黑客又回来了。他通过伪造 NordVPN，Invoicesoftware360 和 Clipoffice 等网站传播恶意软件 。
Arcticle：https://t.co/1ZJK5BdV4F

 IOCs：https://t.co/Q9b9ECrZxu

– Ivan Korolev（@ fe7ch）2019年8月19日

恶意软件分析师 Ivan Korolev 称，在感染用户的计算机之后，黑客使用恶意软件“主要用于网络注入/流量监控器/后门”。

通过克隆网站传播恶意软件

Win32.Bolik.2 和 Trojan.PWS.Stealer.26645 也是由同一个黑客组织于 2019 年 6 月下旬通过下面这两个虚假网站传播出去的：

早在四月，免费多媒体编辑网站 VSDC 就遭遇了黑客攻击，这实际上是两年来的第二起事件。下载链接被用来散播 Win32.Bolik.2 银行木马和Trojan.PWS.Stealer（ KPOT stealer）。

下载并安装受感染的 VSDC 安装程序的用户的计算机可能会被使用多组件多态的木马感染，病毒还有可能从浏览器，他们的Microsoft帐户，各种聊天应用程序等程序中窃取了敏感信息。

消息来源：BleepingComputer， 译者：r4938n，校审：吴烦恼
本文由 HackerNews.cc 翻译整理，封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接