Tin tặc sử dụng trang web giả mạo NordVPN lây nhiễm mã độc ngân hàng

41

Những kẻ tấn công sử dụng trang web của trình soạn thảo đa phương tiện miễn phí VSDC trước đây để lây nhiễm mã độc (Trojan) ngân hàng Win32.Bolik.2 giờ đã thay đổi sang một chiến thuật mới.

Mặc dù trước đó, chúng đã hack các trang web hợp pháp để chiếm quyền điều khiển các liên kết tải xuống bị nhiễm phần mềm độc hại, nhưng tin tặc hiện đang tạo ra các bản sao trang web để chuyển các Trojan ngân hàng lên máy tính của nạn nhân mà không gây ra bất cứ nghi ngờ nào.

Điều này cho phép chúng tập trung vào các công cụ độc hại của chúng thay vì lãng phí thời gian xâm nhập vào máy chủ và trang web của các doanh nghiệp hợp pháp.

Thêm vào đó, chúng đang tích cực phân phối ngân hàng Trojan ngân hàng Win32.Bolik.2 thông qua trang web câu lạc bộ nord-vpn [.], một bản sao gần như hoàn hảo của trang web Nordvpn.com được sử dụng chính thức bởi dịch vụ VPN NordVPN nổi tiếng.

Trang web clone NordVPN.

Hàng ngàn nạn nhân tiềm năng

Trang web clone này cũng có chứng chỉ SSL hợp lệ do cơ quan chứng nhận mở Let Let Encrypt cấp vào ngày 03/08, ngày hết hạn là ngày 01/11.

Trojan Win32.Bolik.2 là phiên bản cải tiến của Win32.Bolik.1 và có phẩm chất của virus tập tin đa hình đa thành phần”, các nhà nghiên cứu của Doctor Web phát hiện ra chiến dịch này cho biết.

“Sử dụng phần mềm độc hại này, tin tặc có thể thực hiện các phi vụ xâm nhập web, chặn lưu lượng truy cập, keylogging và đánh cắp thông tin từ các hệ thống khách hàng ngân hàng khác nhau.”

Các nhân vật đằng sau chiến dịch độc hại này đã tiến hành các cuộc tấn công vào ngày 8 tháng 8, họ đang tập trung vào các mục tiêu nói tiếng Anh và theo các nhà nghiên cứu, hàng ngàn người đã truy cập trang web câu lạc bộ nord-vpn [.] để tìm kiếm liên kết tải xuống cho khách hàng NordVPN.

Chúng quan tâm đến các nạn nhân nói tiếng Anh (US/CA/UK/AU). Tuy nhiên, có thể có ngoại lệ nếu nạn nhân có giá trị“, nhà phân tích phần mềm độc hại của Doctor Web, Ivan Korolev chia sẻ với BleepingComputer.

Ông cũng nói rằng các tin tặc đang sử dụng phần mềm độc hại “chủ yếu là keylogger/traffic sniffer/backdoor” sau khi lây nhiễm thành công virut cho nạn nhân của chúng.

Các trình cài đặt NordVPN bị nhiễm sẽ cài đặt ứng dụng khách NordVPN để tránh gây ra sự nghi ngờ đồng thời thả Win32.Bolik.2 Trojan vào hệ thống bị xâm nhập.

Phát tán phần mềm độc hại qua các trang web clone

Một loại “cocktail” gồm trojan ngân hàng và kẻ đánh cắp thông tin các trang web Win32.Bolik.2 and Trojan.PWS.Stealer.26645 (Predator The Thief) đã được chuyển đến nạn nhân với sự giúp đỡ của 2 trang web clone vào cuối tháng 6 năm 2019:

Đây không phải là chiến dịch đầu tiên mà bọn chúng thực hiện bằng phần mềm độc hại vì như đã nói ở phần đầu, chúng cũng hack các trang web hợp pháp để chiếm quyền điều khiển các liên kết tải xuống và thay thế chúng bằng các loại mã độc.

Vào tháng 4 vừa rồi, trang web của trình soạn thảo đa phương tiện miễn phí VSDC đã bị tin tặc xâm phạm lần thứ hai, với các liên kết tải xuống được sử dụng để phân phối Trojan ngân hàng Win32.Bolik.2 và Trojan.PWS.Stealer (kẻ đánh cắp KPOT) kẻ đánh cắp thông tin.

Người dùng đã tải xuống và cài đặt trình cài đặt VSDC bị xâm nhập có khả năng đã lây nhiễm máy tính của họ với Trojan ngân hàng đa hình đa thành phần và thông tin nhạy cảm có thể đã bị đánh cắp từ trình duyệt, tài khoản Microsoft, các ứng dụng nhắn tin và từ một số chương trình khác.

Các chỉ số về sự thỏa hiệp của các mẫu Win32.Bolik.2, Trojan.PWS.Stealer.26645 (kẻ săn mồi), AZORult và BackDoor.HRDP.32, cũng như các chỉ số mạng bao gồm máy chủ lệnh và miền phân phối, đều được cung cấp bởi các nhà nghiên cứu của Doctor Web trên GitHub.

Những kẻ lừa đảo trực tuyến thường giả vờ là công ty đáng tin cậy khi cố gắng đánh lừa nạn nhân của họ. Bởi vì NordVPN là một công ty bảo mật trực tuyến được tin cậy rộng rãi, nên những kẻ lừa đảo thường giả vờ họ. Chúng làm điều này để đánh cắp tiền của người dùng hoặc kiếm tiền từ PC bằng các loại mã độc.

Theo Bleeping Computer

Tin liên quan: