Situs Palsu NordVPN Menginfeksi Korban Dengan Trojan Perbankan

• Kelompok pelaku jahat yang dikenal telah memperbarui kampanye trojan perbankannya dengan menggunakan situs web baru.
• Para aktor telah membuat situs web klon NordVPN dan produk lainnya, menginfeksi sistem dengan Bolik.
• Situs web terlihat sangat meyakinkan, memiliki URL yang mirip dengan yang asli, dan membawa sertifikat SSL yang valid.

Menurut sebuah laporan oleh Dr. Web Antivirus Para peneliti, aktor yang sama yang telah mengkompromikan situs web editor video VSDC untuk mendorong trojan pada bulan April sekarang menggunakan tiruan dari situs web NordVPN untuk melakukan hal yang sama. Trojan perbankan yang didistribusikan dalam "Win32.Bolik.2" yang sangat berbahaya, yang merupakan virus multi-komponen yang mampu mencegat lalu lintas, keylogging, injeksi kode, dan exfiltrasi data. Lebih buruk lagi, situs web yang dikloning tidak hanya terlihat sangat mirip dengan yang asli, tetapi juga memiliki sertifikat SSL yang valid dan nama domainnya terlihat sah pada pandangan pertama.

Situs umpan, sumber gambar: news.drweb.com

Web telah mencatat tanda-tanda pertama kegiatan kampanye pada 8 Agustus 2019, dan situs web palsu itu sudah memiliki ribuan pengunjung. Namun, para aktor tidak hanya menggunakan NordVPN untuk mengaitkan korban mereka. Mereka telah membuat situs web umpan serupa untuk Faktur 360, dan juga untuk Crystal Office, dua program kantor populer yang berpotensi memikat korban melalui forum dan posting media sosial. Tentu saja, mengirimkan penawaran khusus untuk produk-produk populer melalui email spam juga merupakan cara yang bagus untuk mengirim traffic baru ke situs-situs palsu ini, dan metode ini juga menambah faktor “kecerobohan”.

Saat ini, situs web yang dikloning masih ada, meskipun alat AV telah mengindeksnya dalam daftar hitam mereka, jadi Anda kemungkinan besar akan mendapat peringatan jika Anda mencoba mengunjungi mereka. Doctor Web telah mencoba memberi tahu layanan hosting dari situs web berbahaya sehingga mereka segera dihapus. Tim peneliti telah mengikuti kelompok tertentu sejak April, dan mereka adalah orang yang sama yang menyelamatkan hari dengan infeksi Bolik yang datang melalui alat VDSC. Admin VDSC tidak menyadari bahwa bagian pengunduhan situs web mereka telah dikompromikan, jadi ada setidaknya 600 kasus infeksi sebelum Dr. Web masuk.

Dalam kampanye terbaru ini, situs web pemikat masih mengirimkan perangkat lunak yang dapat dieksekusi sehingga para korban tidak akan curiga bahwa sesuatu yang aneh sedang terjadi. Konon, Anda masih akan mendapatkan NordVPN dari platform palsu, yang saat ini diduga berdasarkan tawaran "Gratis 1-tahun" yang luar biasa. Tawaran ini berakhir dalam sekitar sembilan jam, menciptakan elemen darurat palsu yang mendorong korban untuk bergerak maju tanpa memperhatikan tanda-tanda penipuan yang jelas. Jika Anda tertarik untuk membeli NordVPN atau perangkat lunak lain, gunakan mesin pencarian yang andal untuk menemukan domain resmi produk dan jangan mempercayai tautan yang dibagikan di tempat lain.

Ada yang ingin dikatakan di atas? Tulis pemikiran Anda di bagian komentar di bawah, dan bantu kami memperingatkan lebih banyak orang dengan membagikan pos ini melalui acara sosial kami, pada Facebook dan Twitter.