Los expertos en Internet médico advirtió que los atacantes utilizan copias de sitios de servicios populares para distribuir Bolik banquero (Win32kbholikk2). Por ejemplo, la Bolik de Troya se enmascara de manera muy eficaz bajo NordVPN.
lana de estos recursos, descubierta por los expertos, copias de este famoso servicio de VPN, mientras que otros se disfrazan de sitios de software de oficina corporativa.Los expertos de la compañía encontró una copia de la página del popular servicio de VPN en NordVPN Norte VPN[.]Club. Como en el recurso original, se invita al usuario a descargar el programa para el uso de la VPN, pero con ella, los autores falsos distribuir el banquero.
leer también: Android banquero Cerberus Usos podómetro para evitar ser detectados
Externamente, una copia del sitio está prácticamente no diferir de los originales: tiene el mismo diseño, un nombre de dominio similar y un certificado SSL válido. En el momento de la publicación informe del analista, el sitio malicioso tenía miles de visitas.
Según el doctor Web, esta campaña se dirige principalmente a un público de habla Inglés y se puso en marcha a principios de agosto 2019.
“El actor está interesado en víctimas de habla inglesa (EEUU / CA / UK / AU). sin embargo, él puede hacer excepciones si la víctima es valiosa. Los hackers están utilizando el software malicioso “principalmente como keylogger / sniffer de tráfico / puerta trasera” después de infectar con éxito sus víctimas”, analista de malware dicho Doctor Web -.
Adicionalmente, a finales de junio de este año, el mismo grupo de hackers creado copias de los sitios del programa de oficina, a saber invoicesoftware360[.]xyz (original – invoicesoftware360[.]con) y clipoffice[.]xyz (original – crystaloffice[.]con), donde el Bolik de Troya, así como la Trojan.PWS.Stealer.26645 ladrón, se distribuyeron. Una lista completa de los indicadores de compromiso está disponible aquí.
Los investigadores señalan que Win32.Bolik.2 es una versión mejorada de la Win32.Bolik.1 de Troya, descubierta en 2016. El malware tiene las propiedades de un archivo de virus polimórficos multicomponente, y los investigadores anteriores pensaban que Bolik hereda a estos troyanos bancarios conocidos como Zeus y Carberp. Con su ayuda, los hackers pueden realizar inyecciones web, interceptar el tráfico, pulsaciones de teclas y robar información de los sistemas de banco-cliente.
Jefe de Relaciones Públicas de NordVPN Laura Tyrell expedido BleepingComputer el siguiente comentario:
“Estafadores en línea Amor pretender empresas como de confianza cuando se trata de engañar a sus víctimas. Debido NordVPN es una empresa de seguridad en línea de confianza, ampliamente, los estafadores se hacen pasar por nosotros también. Lo hacen para robar dinero de los usuarios o infectar sus ordenadores con malware “.
Y recomendó el siguiente:
Siempre verifique la información si tiene la más mínima sospecha. también, Nunca dar información personal que no tiene relación con nuestros servicios o transferir su dinero a través de servicios de cableado. Si tiene alguna duda, Siempre en contacto con NordVPN través de uno de nuestros canales oficiales.
