Diventa Autore per CoreTech | Scopri di più
05/09/19 gatti News
Gli specialisti del laboratorio dei virus Doctor Web hanno scoperto che gli hacker utilizzano copie di siti di popolari servizi per distribuire un pericoloso trojan banker,Win32.Bolik.2. Una di queste risorse ricalca un noto servizio VPN, altre sono mascherate da siti di programmi per ufficio aziendali.
Una copia del sito del popolare servizio VPN NordVPN è stata trovata recentemente dai nostri specialisti sull'indirizzo nord-vpn[.]club. Come sulla risorsa originale, viene offerto all'utente il download del programma per VPN, ma insieme ad esso gli autori del falso sito distribuiscono un pericoloso trojan banker –Win32.Bolik.2.
Dall'esterno la copia del sito è quasi uguale all'originale: ha lo stesso design, un nome a dominio simile e un certificato SSL valido.
Secondo i nostri dati, la campagna di virus che utilizza il falso sito è orientata principalmente al pubblico di lingua inglese ed è stata lanciata l'08.08.2019. Al momento della pubblicazione di questo articolo il sito già contava migliaia di visite.
Inoltre, alla fine di giugno quest'anno lo stesso gruppo di hacker ha creato copie di siti di programmi per ufficio invoicesoftware360[.]xyz (l'originale - invoicesoftware360[.]com) e clipoffice[.]xyz (l'originale – crystaloffice[.]com) su cui anche veniva distribuito il trojanWin32.Bolik.2, nonché lo stealer di passwordTrojan.PWS.Stealer.26645.
Il trojanWin32.Bolik.2è una versione migliorata diWin32.Bolik.1e ha le proprietà di un virus di file polimorfo multicomponente. Utilizzandolo, gli hacker possono eseguire la web injection, l'intercettazione del traffico, il keylogging e rubare informazioni da sistemi home-banking.
In precedenza gli stessi malintenzionati distribuivanoWin32.Bolik.2attraverso il sito hackerato di un programma di elaborazione video, di cui abbiamo parlato inquestanotizia.
Tutte le versioni di questo trojan vengono rilevate e rimosse con successo dall'antivirus Dr.Web e non rappresentano alcun rischio per i nostri utenti.