Банковский троян Bolik распространяется через поддельные сайты
Хакеры используют копии сайтов популярных сервисов для распространения опасного банковского троянца Win32.Bolik.2. Один из таких ресурсов копирует известный VPN-сервис, а другие замаскированы под сайты корпоративных офисных программ.
Недавно копию сайта популярного VPN-сервиса NordVPN специалисты "Доктор Веб" обнаружили по адресу nord-vpn[.]club. Как и на оригинальном ресурсе, пользователю предлагается скачать программу для использования VPN, но вместе с ней авторы подделки распространяют опасного банковского троянца - Win32.Bolik.2.
Внешне копия сайта почти не отличается от оригинала: у нее тот же дизайн, похожее доменное имя и действительный SSL-сертификат.
Вирусная кампания, использующая сайт-подделку, ориентирована преимущественно на англоязычную аудиторию и была запущена 8 августа, но сайт уже насчитывает тысячи посещений.
Кроме того, в конце июня та же группа хакеров создала копии сайтов офисных программ invoicesoftware360[.]xyz (оригинал - invoicesoftware360[.]com) и clipoffice[.]xyz (оригинал - crystaloffice[.]com), где тоже распространялся троянец Win32.Bolik.2, а также стилер Trojan.PWS.Stealer.26645.
Троянец Win32.Bolik.2 представляет собой улучшенную версию Win32.Bolik.1 и имеет свойства многокомпонентного полиморфного файлового вируса. С помощью него хакеры могут выполнять веб-инжекты, перехват трафика, кейлоггинг и похищать информацию из систем "банк-клиент".
Ранее эти же злоумышленники распространяли Win32.Bolik.2 через взломанный сайт программы для обработки видео.