Следующая новость
Предыдущая новость

Банковский троян Bolik маскируется под NordVPN

20.08.2019 10:42
Банковский троян Bolik маскируется под NordVPN

Рекомендуем почитать:

Xakep #244. Атаки по сторонним каналам

  • Содержание выпуска
  • Подписка на «Хакер»

Специалисты компании «Доктор Веб»предупредили, что злоумышленники используют копии сайтов популярных сервисов для распространения банкера Bolik (Win32.Bolik.2). Один из таких ресурсов, обнаруженных специалистами, копирует известный VPN-сервис, а другие замаскированы под сайты корпоративных офисных программ.

Эксперты компании обнаружили копию сайта популярного VPN-сервиса NordVPN по адресу nord-vpn[.]club. Как и на оригинальном ресурсе, пользователю предлагается скачать программу для использования VPN, но вместе с ней авторы подделки распространяют банкера. Внешне копия сайта практически не отличается от оригинала: у нее тот же дизайн, похожее доменное имя и действительный SSL-сертификат. На момент публикации отчета аналитиков, вредоносный сайт насчитывал тысячи посещений.

Банковский троян Bolik маскируется под NordVPN
Банковский троян Bolik маскируется под NordVPN

По информации «Доктор Веб», данная кампания ориентирована преимущественно на англоязычную аудиторию и была запущена в начале августа 2019 года. Кроме того, в конце июня текущего года та же группа хакеров создала копии сайтов офисных программ: invoicesoftware360[.]xyz (оригинал — invoicesoftware360[.]com) и clipoffice[.]xyz (оригинал – crystaloffice[.]com), где тоже распространялся троян Bolik, а также стилер Trojan.PWS.Stealer.26645. Полный список индикаторов компрометации доступен здесь.

Банковский троян Bolik маскируется под NordVPN
Банковский троян Bolik маскируется под NordVPN

Исследователи отмечают, что Win32.Bolik.2 представляет собой улучшенную версию трояна Win32.Bolik.1, обнаруженного в 2016 году. Малварь имеет свойства многокомпонентного полиморфного файлового вируса, и уже тогда исследователи называли Bolik наследником таких известных банковских троянов, как Zeus и Carberp. Так, с его помощью хакеры могут выполнять веб-инжекты, перехватывать трафик, нажатия клавиш и похищать информацию из систем «банк-клиент».

Ранее в 2019 году специалисты обнаруживали, что Win32.Bolik.2 распространяется через официальный сайт VSDC, популярной программы для обработки видео и звука. Как выяснилось, сайт был взломан, а ссылки на скачивание редактора злоумышленники подменили вредоносными.

Источник

Последние новости