닥터 웹 전문가들은 공격자가 Bolik 은행가를 배포하는 인기 서비스 사이트의 사본을 사용할 것을 경고 (Win32kbholikk2). 예를 들면, Bolik 트로이 목마는 매우 효과적으로 NordVPN에서 마스크.
O이러한 자원의 북동, 전문가들에 의해 발견, 사본이 유명한 VPN 서비스, 다른 사람들은 기업의 오피스 소프트웨어 사이트로 위장하는 동안.이 회사의 전문가에서 인기있는 VPN 서비스 NordVPN의 사이트의 사본을 발견 북한 VPN[.]클럽. 원래 자원에로, 사용자는 VPN을 사용하는 프로그램을 다운로드하도록 초대한다, 하지만 그것으로, 가짜 저자는 은행을 배포.
또한 읽기: 안드로이드 은행 서버러스는 탐지를 피하기 위해 만보계를 사용
외부, 사이트의 복사본이 실질적으로 원본과 differe하지 않습니다됩니다: 동일한 디자인을 가지고, 유사한 도메인 이름과 유효한 SSL 인증서. 본인의 보고서 발행시, 악의적 인 사이트는 방문의 수천을했다.
닥터 웹에 따르면,, 이 캠페인은 영어권 청중을 주로 대상으로하고 8 월 초 출시 된 2019.
“배우가 영어 말하기 피해자에 관심이있다 (미국 / 캐나다 / 영국 / AU). 하나, 피해자가 중요한 경우 그는 예외를 만들 수 있습니다. 해커가 악성 코드를 사용하는 “주로 키로거 / 트래픽 스니퍼 / 백도어로” 성공적으로 "피해자를 감염 후, - 말 닥터 웹 악성 코드 분석.
게다가, 6 월 말 올해에, 해커의 같은 그룹은 Office 프로그램 사이트의 복사본을 생성, 즉 invoicesoftware360[.]XYZ (기발한 – invoicesoftware360[.]와) 과 clipoffice[.]XYZ (기발한 – crystaloffice[.]와), 여기서 Bolik 트로이 목마, 뿐만 아니라 Trojan.PWS.Stealer.26645 도루, 배포되었습니다. 타협의 지표의 전체 목록을 사용할 수 있습니다 이리.
연구팀은 Win32.Bolik.2가 Win32.Bolik.1 트로이 목마의 개선 된 버전이 있습니다, 발견 2016. 악성 코드는 다 다형성 파일 바이러스의 속성이 있습니다, 이전 연구자들은 Bolik이 같은 잘 알려진 금융 트로이 목마에 상속 생각 제우스 과 Carberp. 그것의 도움으로, 해커는 웹 주사를 수행 할 수 있습니다, 차단 트래픽, 키 입력과 은행 - 클라이언트 시스템에서 정보를 도용.
홍보의 NordVPN의 머리 로라 타이렐 전송 다음 주석 BleepingComputer:
피해자를 속일하려고 할 때 "온라인 사기꾼 신뢰하는 기업 척 사랑. NordVPN는 널리 신뢰할 수있는 온라인 보안 회사이기 때문에, 사기꾼뿐만 아니라 우리를 척. 그들은 사용자의 돈을 훔치거나 악성 코드와 함께 자신의 PC를 감염이 작업을 수행. "
그리고 다음을 권장:
당신이 조금이라도 의심이있는 경우 항상 정보를 다시 한 번 확인. 또한, 결코 우리의 서비스는 전혀 관련이없는 개인 정보를 제공하거나 배선 서비스를 통해 돈을 전송. 당신은 의심의 여지가있는 경우, 항상 우리의 공식 채널 중 하나를 통해 NordVPN 연락.
