010101Hex
20.08.2019, 18:22
Клонированный сайт имеет подлинный сертификат SSL, выданный открытым центром сертификации Let's Encrypt.
Злоумышленники, которые ранее проникли (https://www.securitylab.ru/news/494385.php) на сайт бесплатного мультимедийного редактора VSDC и использовали его для распространения банковского трояна Win32.Bolik.2, теперь изменили свою тактику, сообщают (https://news.drweb.com/show/?i=13388&lng=en&c=5) исследователи из Doctor Web.
Если раньше они взламывали легитимные web-сайты для получения контроля над загрузочными ссылками, то теперь киберпреступники распространяют банковский троян Win32.Bolik.2 через почти идеальную копию сайта nordvpn.com, использующегося популярным VPN-сервисом NordVPN. Клонированный сайт также имеет подлинный сертификат SSL, выданный открытым центром сертификации Let's Encrypt.
По словам исследователей, троян Win32.Bolik.2 является улучшенной версией вредоноса Win32.Bolik.1 и обладает качествами «многокомпонентного полиморфного файлового вируса». Вредонос позволяет киберпреступникам осуществлять web-внедрения, перехватывать трафик, запускать кейлоггеры и красть данные из различных систем банк-клиент.
Вредоносная кампания, по мнению иследователей, началась 8 августа нынешнего года, а жертвами атак стали англоязычные пользователи. По данным экспертов, уже более тысячи жертв посетили сайт nord-vpn в поисках ссылки для загрузки клиента NordVPN.
Подробнее: https://www.securitylab.ru/news/500519.php (https://www.securitylab.ru/news/500519.php?ref=123)
Злоумышленники, которые ранее проникли (https://www.securitylab.ru/news/494385.php) на сайт бесплатного мультимедийного редактора VSDC и использовали его для распространения банковского трояна Win32.Bolik.2, теперь изменили свою тактику, сообщают (https://news.drweb.com/show/?i=13388&lng=en&c=5) исследователи из Doctor Web.
Если раньше они взламывали легитимные web-сайты для получения контроля над загрузочными ссылками, то теперь киберпреступники распространяют банковский троян Win32.Bolik.2 через почти идеальную копию сайта nordvpn.com, использующегося популярным VPN-сервисом NordVPN. Клонированный сайт также имеет подлинный сертификат SSL, выданный открытым центром сертификации Let's Encrypt.
По словам исследователей, троян Win32.Bolik.2 является улучшенной версией вредоноса Win32.Bolik.1 и обладает качествами «многокомпонентного полиморфного файлового вируса». Вредонос позволяет киберпреступникам осуществлять web-внедрения, перехватывать трафик, запускать кейлоггеры и красть данные из различных систем банк-клиент.
Вредоносная кампания, по мнению иследователей, началась 8 августа нынешнего года, а жертвами атак стали англоязычные пользователи. По данным экспертов, уже более тысячи жертв посетили сайт nord-vpn в поисках ссылки для загрузки клиента NordVPN.
Подробнее: https://www.securitylab.ru/news/500519.php (https://www.securitylab.ru/news/500519.php?ref=123)