Doutor especialistas Web advertiu que os atacantes usam cópias de sites de serviços populares para distribuir Bolik banqueiro (Win32kbholikk2). Por exemplo, o Bolik Trojan é muito eficazmente mascarado sob NordVPN.
One desses recursos, descoberto por especialistas, cópias deste serviço VPN famosa, enquanto outros são disfarçados como sites de software de escritório corporativo.Os especialistas da empresa encontrou uma cópia do site do popular NordVPN serviço VPN na Norte vpn[.]Clube. Como no recurso original, o usuário é convidado a baixar o programa para usar a VPN, mas com ele, os autores falsos distribuir o banqueiro.
Leia também: Android Banker Cerberus Usa pedômetro para evitar a detecção
Externamente, uma cópia do site é praticamente não As difere do original: ele tem o mesmo design, um nome de domínio semelhante e um certificado SSL válido. No momento da publicação do relatório do analista, o site malicioso tinha milhares de visitas.
De acordo com a Doctor Web, esta campanha é principalmente destinada a uma audiência de língua Inglês e foi lançado no início de agosto 2019.
“O ator está interessado em vítimas de língua inglesa (US / CA / UK / AU). Contudo, ele pode fazer exceções se a vítima é valioso. Hackers estão usando o malware “principalmente como keylogger / sniffer de tráfego / backdoor” Após infectar com sucesso suas vítimas”, analista de malwares disse Doctor Web -.
além do que, além do mais, no final de junho deste ano, o mesmo grupo de hackers criado cópias de sites de programas de escritório, nomeadamente invoicesoftware360[.]xyz (original – invoicesoftware360[.]com) e clipoffice[.]xyz (original – crystaloffice[.]com), onde o Bolik Trojan, assim como o Trojan.PWS.Stealer.26645 ladrão, foram distribuídos. Uma lista completa de indicadores de compromisso está disponível Aqui.
Os pesquisadores observam que Win32.Bolik.2 é uma versão melhorada do Win32.Bolik.1 Trojan, descoberto em 2016. Malware tem as propriedades de um vírus de arquivo polimórfica multicomponente, e os pesquisadores anteriores pensavam que Bolik herda a tais Trojans bancários bem conhecidas como Zeus e Carberp. Com sua ajuda, hackers podem realizar injecções web, tráfego de interceptação, teclas e roubar informações dos sistemas de banco-cliente.
Chefe de Relações Públicas do NordVPN Laura Tyrell enviei BleepingComputer o seguinte comentário:
“Golpistas online gostam de fingir empresas a serem confiáveis quando se tenta enganar suas vítimas. Porque NordVPN é uma dessas empresas de segurança on-line amplamente confiável, scammers fingir ser-nos bem. Eles fazem isso para roubar dinheiro dos usuários ou infectar seus computadores com malware.”
E recomendou o seguinte:
Sempre informações verifique se você tem mesmo a menor suspeita. Além disso, Nunca forneça informações pessoais que não tem relação com os nossos serviços ou transferir o seu dinheiro através do serviço de fiação. se você tiver alguma dúvida, sempre contactar NordVPN através de um dos nossos canais oficiais.