Поддельный сайт NordVPN распространяет банковский троян

Поддельный сайт NordVPN распространяет банковский троян

Клонированный сайт имеет подлинный сертификат SSL, выданный открытым центром сертификации Let's Encrypt.

Злоумышленники, которые ранее проникли на сайт бесплатного мультимедийного редактора VSDC и использовали его для распространения банковского трояна Win32.Bolik.2, теперь изменили свою тактику, сообщают исследователи из Doctor Web.

Если раньше они взламывали легитимные web-сайты для получения контроля над загрузочными ссылками, то теперь киберпреступники распространяют банковский троян Win32.Bolik.2 через почти идеальную копию сайта nordvpn.com, использующегося популярным VPN-сервисом NordVPN. Клонированный сайт также имеет подлинный сертификат SSL, выданный открытым центром сертификации Let’s Encrypt.

По словам исследователей, троян Win32.Bolik.2 является улучшенной версией вредоноса Win32.Bolik.1 и обладает качествами «многокомпонентного полиморфного файлового вируса». Вредонос позволяет киберпреступникам осуществлять web-внедрения, перехватывать трафик, запускать кейлоггеры и красть данные из различных систем банк-клиент.

Вредоносная кампания, по мнению иследователей, началась 8 августа нынешнего года, а жертвами атак стали англоязычные пользователи. По данным экспертов, уже более тысячи жертв посетили сайт nord-vpn в поисках ссылки для загрузки клиента NordVPN.