Киберпреступники клонировали веб-сайт популярного программного обеспечения VPN, чтобы заставить ничего не подозревающих посетителей загрузить опасный троян.

Исследователи из «Доктор Веб» обнаружили вредоносного банковского трояна, замаскированного под популярную виртуальную частную сеть NordVPN. Троян, известный как Win32.Bolik.2, скрыт вместе с загрузками VPN с веб-сайта, который легко принять за настоящий сайт NordVPN.

Связанный: Лучший VPN

Наряду с визуальным сходством с оригинальным сайтом и легко ошибочным доменным именем, преступникам, которые скрываются за фальшивкой, также удалось получить действительный сертификат SSL, благодаря открытому центру сертификации Let’s Encrypt.

Это делает сайт более похожим на реальное и позволяет ему пройти проверку безопасности браузера.

Тем не менее, поддельный сайт действительно предлагал гораздо более заманчивую сделку: год на программное обеспечение VPN обещали даром, а не 2,99 месяца в месяц за три года обслуживания на реальном сайте NordVPN.

Это не первый раз, когда эта группа ударила. Еще в июне хакеры клонировали сайты различных корпоративных офисных программ, включая Invoice 360 ​​и Clip Plus, чтобы скрыть банковский троян, и их поймали на распространении одного и того же файла через взломанную бесплатную службу редактирования видео VSDC.

Троянец крадется вместе с законной копией VPN или офисного программного обеспечения с этих поддельных сайтов, чтобы украсть данные у ничего не подозревающих жертв — и он получает клики.

«Троян Win32.Bolik.2 является улучшенной версией Win32.Bolik.1 и обладает качествами многокомпонентного полиморфного файлового вируса», — пояснил Доктор Веб в публикации, раскрывающей вредоносное ПО. «Используя это вредоносное ПО, хакеры могут выполнять веб-инъекции, перехват трафика, ведение журнала ключей и кражу информации из различных систем банка-клиента».

Связанный: Лучший бесплатный VPN

По словам «Доктор Веб», вредоносные программы на этих сайтах были в первую очередь ориентированы на англоязычную аудиторию, а поддельная страница NordVPN уже посещалась тысячи раз. Это просто служит напоминанием о необходимости перепроверить, прежде чем загружать любое программное обеспечение, которое выглядит слишком хорошо, чтобы быть правдой.