Hackers usan sitio web falso de NordVPN para infectar usuarios con un troyano bancario

Los atacantes que hackearon el editor multimedia gratuito VSDC para distribuir el troyano bancario Win32.Bolik.2 ahora han cambiado sus tácticas.

Mientras que anteriormente piratearon sitios web legítimos para secuestrar enlaces de descarga infectados con malware, los piratas informáticos ahora están creando clones de sitios web para entregar troyanos bancarios en las computadoras de las víctimas desprevenidas.

Esto les permite concentrarse en agregar capacidades a sus herramientas maliciosas en lugar de perder tiempo al tratar de infiltrarse en los servidores y sitios web de negocios legítimos.

Más concretamente, están distribuyendo activamente el troyano bancario Win32.Bolik.2 a través del sitio web nord-vpn [.] Club, un clon casi perfecto del sitio oficial nordvpn.com utilizado por el popular servicio NordVPN VPN.

Miles de víctimas potenciales

El sitio web clonado también tiene un certificado SSL válido emitido por la autoridad de certificación abierta Let’s Encrypt el 3 de agosto, con una fecha de vencimiento del 1 de noviembre.

“El troyano Win32.Bolik.2 es una versión mejorada de Win32.Bolik.1 y tiene las cualidades de un virus de archivo polimórfico multicomponente”, afirman los investigadores del Doctor Web que vieron la campaña.

“Al usar este malware, los piratas informáticos pueden realizar inyecciones en la web, interceptar el tráfico, registrar claves y robar información de diferentes sistemas de clientes bancarios”.

Los operadores detrás de esta campaña maliciosa lanzaron sus ataques el 8 de agosto, se están centrando en objetivos de habla inglesa y, según los investigadores, miles ya han visitado el sitio web del club nord-vpn [.] En busca de un enlace de descarga para el Cliente NordVPN.

Difundir malware a través de sitios clonados

Un cóctel de troyanos bancarios y ladrones de información (Win32.Bolik.2 y Trojan.PWS.Stealer.26645 (Predator The Thief)) también fue entregado a sus objetivos por el mismo grupo de hackers detrás de esta campaña de malware con la ayuda de otros dos sitios clonados a finales de junio de 2019: 

invoicesoftware360 [.] Xyz (el original es invoicesoftware360 [.] Com)

clipoffice [.] Xyz (el original es crystaloffice [.] Com)

Esta no es la primera campaña que estos malos actores han usado para infectar a sus víctimas con malware ya que, como se mencionó al principio, también hackearon sitios legítimos para secuestrar enlaces de descarga y reemplazarlos con sus propias cargas maliciosas.

En abril, los hackers violaron el sitio web del editor multimedia gratuito VSDC , la segunda vez en dos años, con los enlaces de descarga utilizados para distribuir el troyano bancario Win32.Bolik.2 y el Trojan.PWS.Stealer ( KPOT stealer) ladrón de información.

Los usuarios que descargaron e instalaron el instalador VSDC comprometido potencialmente infectaron sus computadoras con el troyano bancario polimórfico multicomponente y les robaron información confidencial de los navegadores, sus cuentas de Microsoft, varias aplicaciones de mensajería y varios otros programas.

Los indicadores de compromiso de Win32.Bolik.2, Trojan.PWS.Stealer.26645 (Predator The Thief), AZORult y BackDoor.HRDP.32, así como los indicadores de red que incluyen servidores de comando y control y dominios de distribución, son proporcionado por los investigadores del Doctor Web en GitHub

fuente:security.divdesign.mx

Comments are closed.