Win32.Bolik.2 bankacılığının Trojan’ını dağıtmak için ücretsiz multimedya editörü VSDC’nin web sitesini ihlal eden ve kötüye kullanan saldırganlar şimdi taktiklerini değiştirdi.
Daha önce, kötü amaçlı yazılımın bulaştığı indirme bağlantılarını ele geçirmek için meşru web sitelerini kullanan bilgisayar korsanları artık bankacılık Truva atlarını mağdurların bilgisayarlarına ulaştırmak için web sitesi klonları oluşturuyorlar.
Bu, meşru işletmelerin sunucularına ve web sitelerine sızmaya çalışarak zaman kaybetmek yerine kötü amaçlı araçlarına yetenekler eklemeye odaklanmalarını sağlar.
Popüler VPN servisi NordVPN tarafından kullanılan resmi nordvpn.com sitesinin mükemmel bir klonu olan, nord-vpn [.] club web sitesi aracılığıyla Win32.Bolik.2 bankacılık Trojanını aktif olarak dağıtıyorlar.
Binlerce potansiyel kurban
Klonlanan web sitesi ayrıca, 3 Ağustos’ta sona erme tarihi olan açık sertifika yetkilisi Let’s Encrypt tarafından verilen geçerli bir SSL sertifikasına sahiptir.
Doctor Web araştırmacıları “Win32.Bolik.2 trojanı, Win32.Bolik.1’in geliştirilmiş bir sürümüdür ve çok bileşenli polimorfik dosya virüsünün niteliklerine sahiptir” diyor .
“Bu kötü amaçlı yazılımları kullanarak, bilgisayar korsanları web enjeksiyonları yapabilir, trafik işlemleri, keylogging ve farklı banka-müşteri sistemlerinden bilgi çalabilir.”
Bu kötü niyetli kampanyanın arkasındaki saldırganlar saldırılarını 8 Ağustos’ta başlattılar, İngilizce konuşan hedeflere odaklandılar ve araştırmacılara göre binlerce kişi, NordVPN istemcisini indirmek için nord-vpn [.] club web sitesini ziyaret etti.
Doctor Web kötü amaçlı yazılım analisti Ivan Korolev BleepingComputer’a yaptığı açıklamada , “Saldırganlar İngilizce konuşan kurbanlarla (ABD / CA / UK / AU) ilgileniyor. Ancak kurban değerliyse istisnalar yapabilir” dedi.
Ayrıca, bilgisayar korsanlarının kötü amaçlı yazılımları “esas olarak keylogger / trafik hırsızı / arka kapı olarak” kullandıklarını ve kurbanlarına başarıyla bulaştırdıklarını söyledi.
Virüslü NordVPN kurulum dosyaları, şüpheleri ortadan kaldırmak için aslında gerçek NordVPN istemcisini kuracaklar.
Kötü amaçlı yazılımları klonlanmış siteler aracılığıyla yayma
Bankacılık trojanları ve bilgi çalıcılarının bir karışımı – Win32.Bolik.2 ve Trojan.PWS.Stealer.26645 (Predator The Thief) – bu kötü amaçlı yazılım kampanyasının arkasındaki aynı hacker grubu tarafından, aşağıdaki web sitelerinden yayıldı.
• invoicesoftware360[.]xyz (the original is invoicesoftware360[.]com)
• clipoffice[.]xyz (the original is crystaloffice[.]com)
Bu, kötü niyetli oyuncuların kurbanlarına kötü amaçlı yazılımları bulaştırmak için kullandıkları ilk kampanya değil, çünkü daha önce de belirtildiği gibi, meşru siteleri indirme bağlantılarını ele geçirmek ve bunları kendi zararlı yükleriyle değiştirmek için kullandılar.
Nisan ayında, ücretsiz multimedya editörü VSDC’nin web sitesi bilgisayar korsanları tarafından ihlal edildi, iki yıl sonra ikinci kez , indirme bağlantıları Win32.Bolik.2 bankacılık trojan ve Trojan.PWS.Stealer’ı dağıtmak için kullanıldı.
Bu tehlikeye atılmış VSDC yükleyicisini indiren ve yükleyen kullanıcılar, bilgisayarlarına çok bileşenli polimorfik bankacılık Trojan’ı bulaştırdı ve tarayıcılardan, Microsoft hesaplarından, çeşitli mesajlaşma uygulamalarından ve diğer birkaç programdan çalınan hassas bilgilere sahipti.
Win32.Bolik.2, Trojan.PWS.Stealer.26645 (Predator The Thier), AZORult ve BackDoor.HRDP.32 örneklerinin uzlaşma göstergeleri ile komut ve kontrol sunucusu ve dağıtım etki alanları dahil ağ göstergeleri Doctor Web’in araştırmacıları tarafından GitHub’da açıklandı.
Bleepingcomputer