DARA | Penjahat siber dikabarkan mengkloning software VPN populer dan menginjek malware ke software tersebut. Para pengguna yang mengunduh software VPN palsu itupun bisa terkena malware.
Kasus terbaru, seperti dilansir liputan6.com dari laman Tech Radar, Kamis (22/8/2019), para penjahat siber membuat website kloningan dari NordVPN yang rupanya sudah disuntik malware.
Rupanya, para pengguna yang mengunduh dan memasang VPN tersebut juga mengunduh malware bernama Win32.Bolik2, sebuah trojan yang menyerang aplikasi dan layanan perbankan di perangkat korbannya.
Modus kejahatan ini ditemukan oleh para peneliti di Doctor Web.
Selain salinan situs web perusahaan yang hampir sama persis, situs web yang dikloning juga memiliki sertifikat SSL yang valid. Sertifikat ini dikeluarkan oleh otoritas terkait, yakni Let’s Encrypt.
Berbekal sertifikat in, situs web palsu tampak lebih sah dan memungkinkannya untuk bisa melewati pemeriksaan keamanan browser.
Dalam unggahan blog mengenai temuan ini, para peneliti keamanan di Doctor Web menjelaskan apa yang bisa dilakukan oleh malware perbankan Win32.Bolik2.
“Trojan Win32.Bolik2 adalah versi pembaruan dari Win32.Bolik1. Dengan malware ini, peretas bisa melakukan suntikan web, penyadapan trafik, keylogging, dan mencuri informasi dari berbagai sistem bank,” tutur peneliti.
Para penyerang di balik malware jahat ini menargetkan pengguna berbahasa Inggris. Para peneliti keamanan menyebut, ribuan pengguna telah mengunjungi website palsu NordVPN.
Setelah mengunjungi situs yang dikloning, pengguna kemudian diminta untuk mengunduh aplikasi NordVPN, seperti halnya di situs resmi.
Untuk menghindari kecurigaan, situs palsu kemudian menginstal aplikasi VPN yang sebenarnya, tetapi juga meninggalkan trojan perbankan Win32.Bolik2 pada sistem pengguna.***
Editor: denkur
Artikel ini diambil dari liputan6.com, Kamis (22/8/2019)
