Консультант

Телефон: (800) 350-59-04

Банковский троянец Bolik распространяется под видом NordVPN

19 августа 2019 года

Специалисты вирусной лаборатории «Доктор Веб» обнаружили, что хакеры используют копии сайтов популярных сервисов для распространения опасного банковского троянца Win32.Bolik.2. Один из таких ресурсов копирует известный VPN-сервис, а другие замаскированы под сайты корпоративных офисных программ.

Недавно копию сайта популярного VPN-сервиса NordVPN наши специалисты обнаружили по адресу nord-vpn[.]club. Как и на оригинальном ресурсе, пользователю предлагается скачать программу для использования VPN, но вместе с ней авторы подделки распространяют опасного банковского троянца – Win32.Bolik.2.

Внешне копия сайта почти не отличается от оригинала: у нее тот же дизайн, похожее доменное имя и действительный SSL-сертификат.

Согласно нашим данным, вирусная кампания, использующая сайт-подделку, ориентирована преимущественно на англоязычную аудиторию и была запущена 08.08.2019. Однако уже на момент публикации этой статьи вредоносный сайт насчитывал тысячи посещений.

Кроме того, в конце июня этого года та же группа хакеров создала копии сайтов офисных программ invoicesoftware360[.]xyz (оригинал - invoicesoftware360[.]com) и clipoffice[.]xyz (оригинал – crystaloffice[.]com), где тоже распространялся троянец Win32.Bolik.2, а также стилер Trojan.PWS.Stealer.26645.

Троянец Win32.Bolik.2 представляет собой улучшенную версию Win32.Bolik.1 и имеет свойства многокомпонентного полиморфного файлового вируса. С помощью него хакеры могут выполнять веб-инжекты, перехват трафика, кейлоггинг и похищать информацию из систем «банк-клиент».

Ранее эти же злоумышленники распространяли Win32.Bolik.2 через взломанный сайт программы для обработки видео, о чем мы сообщали в этой новости.

Все версии этого троянца успешно детектируются и удаляются антивирусом Dr.Web и не представляют опасности для наших пользователей.

Индикаторы компрометации

#банкер #банковский_троянец #стилер


Источник: Доктор Веб

 

Все новости