Mientras que anteriormente piratearon sitios web legítimos para secuestrar enlaces de descarga infectados con malware, los piratas informáticos ahora están creando clones de sitios web para entregar troyanos bancarios en las computadoras de las víctimas desprevenidas.
Esto les permite concentrarse en agregar capacidades a sus herramientas maliciosas en lugar de perder tiempo al tratar de infiltrarse en los servidores y sitios web de negocios legítimos.
Más concretamente, están distribuyendo activamente el troyano bancario Win32.Bolik.2 a través del sitio web nord-vpn [.] Club, un clon casi perfecto del sitio oficial nordvpn.com utilizado por el popular servicio NordVPN VPN.
Miles de víctimas potenciales
El sitio web clonado también tiene un certificado SSL válido emitido por la autoridad de certificación abierta Let’s Encrypt el 3 de agosto, con una fecha de vencimiento del 1 de noviembre.
«El troyano Win32.Bolik.2 es una versión mejorada de Win32.Bolik.1 y tiene las cualidades de un virus de archivo polimórfico multicomponente», afirman los investigadores del Doctor Web que vieron la campaña.
«Al usar este malware, los piratas informáticos pueden realizar inyecciones en la web, interceptar el tráfico, registrar claves y robar información de diferentes sistemas de clientes bancarios».
Los operadores detrás de esta campaña maliciosa lanzaron sus ataques el 8 de agosto, se están centrando en objetivos de habla inglesa y, según los investigadores, miles ya han visitado el sitio web del club nord-vpn [.] En busca de un enlace de descarga para el Cliente NordVPN.
«El actor está interesado en las víctimas de habla inglesa (US / CA / UK / AU). Sin embargo, puede hacer excepciones si la víctima es valiosa», dijo el analista de malware Doctor Web Ivan Korolev a BleepingComputer.
También dijo que los hackers están usando el malware «principalmente como keylogger / sniffer de tráfico / puerta trasera» después de infectar con éxito a sus víctimas.
Los instaladores infectados de NordVPN realmente instalarán el cliente de NordVPN para evitar levantar sospechas mientras dejan caer la carga maliciosa del troyano Win32.Bolik.2 detrás del escenario en el sistema ahora comprometido.
Un cóctel de troyanos bancarios y ladrones de información (Win32.Bolik.2 y Trojan.PWS.Stealer.26645 (Predator The Thief)) también fue entregado a sus objetivos por el mismo grupo de hackers detrás de esta campaña de malware con la ayuda de otros dos clonados. sitios web a finales de junio de 2019:
• invoicesoftware360 [.] Xyz (el original es invoicesoftware360 [.] Com)
• clipoffice [.] Xyz (el original es crystaloffice [.] Com)
Esta no es la primera campaña que estos malos actores han usado para infectar a sus víctimas con malware ya que, como se mencionó al principio, también hackearon sitios legítimos para secuestrar enlaces de descarga y reemplazarlos con sus propias cargas maliciosas.
En abril, los hackers violaron el sitio web del editor multimedia gratuito VSDC , la segunda vez en dos años, con los enlaces de descarga utilizados para distribuir el troyano bancario Win32.Bolik.2 y el Trojan.PWS.Stealer ( KPOT stealer) ladrón de información.
Los usuarios que descargaron e instalaron el instalador VSDC comprometido potencialmente infectaron sus computadoras con el troyano bancario polimórfico multicomponente y les robaron información confidencial de los navegadores, sus cuentas de Microsoft, varias aplicaciones de mensajería y varios otros programas.
Los indicadores de compromiso de Win32.Bolik.2, Trojan.PWS.Stealer.26645 (Predator The Thief), AZORult y BackDoor.HRDP.32, así como los indicadores de red que incluyen servidores de comando y control y dominios de distribución, son proporcionado por los investigadores del Doctor Web en GitHub.
Fuente: bleepingcomputer.com