Siber saldırganların popüler bir VPN hizmetinin web sitesini kopyaladığı ve kullanıcıları zararlı indirmeye ikna ettiği ortaya çıktı.
Yeni araştırmaya göre siber suçlular, ücretsiz video düzenleyicisi VSDC'nin web sitesini de kopyalayarak zararlı dağıtıyorlar. Grubun daha önce web sitelerini hack'leyip, indirme bağlantılarını değiştirerek zararlı dağıtmaya çalıştığı biliniyor. Grup şu an web sitelerini kopyalama işine odaklanmış durumda. Dağıtılan zararlının adı ise Win32.Bolik.2.
NordVPN'in web sitesiyle aynı görünümde bir web sitesi oluşturan suçlular, kullanıcıları Win32.Bolik.2'yi indirmeye ikna etmeyi başarıyor. Kopya web sitesinin Let's Encrypt tarafından sağlanmış geçerli bir SSL sertifikası bile bulunuyor. Böylece sahte site, kullanıcılara yanlış bir güven hissi de veriyor ve bazı güvenlik mekanizmalarını atlatabiliyor.
Saldırıyı keşfeden Doctor Web'in blog gönderisine göre Bolik.2 trojanı, Bolik.1'in gelişmiş bir hali ve hacker'ların "web enjeksiyonları, trafik kesintileri, keylogging yapmasına ve farklı banka-müşteri sistemlerinden bilgi çalmasına" izin verebiliyor.
Saldırganların taktikleri şimdiye kadar başarılı olduğundan, başka sitelerin de kopyalandığına ve bu şekilde zararlı dağıtıldığına şahit olabiliriz.