据研究人员称,网络犯罪分子最近为NordVPN虚拟专用网络服务和两个办公软件产品设立了冒名顶替网站,企图用Win32.Bolij.2银行木马感染访问者。
Dr.Web在8月19日的公司博客文章中报道说,假冒的NordVPN网站nord-vpn [。]俱乐部于8月8日推出,本月迄今已吸引了数千名访客。该网站非常逼真,具有与真实网站nordvpn.com相同的设计,配色方案和字体。它甚至还有一个有效的SSL证书。
欺诈性网站试图诱使访问者下载与Bolij2捆绑在一起的程序。Dr.Web研究人员将该木马描述为Win32.Bolik.1的升级版本,并指出它“具有多组分多态文件病毒的特性”,并且“能够执行网络注入,流量拦截,键盘记录和窃取来自不同银行的信息 – 客户系统。“
去年6月,攻击者发布了类似的情节,当时它复制了Invoice 360 Enterprise和Crystal Office Systems的网站,这两个网站都制作了商业/办公应用程序。Dr.Web表示,这个特殊的方案不仅提供了Bolij.2,还提供了Trojan.PWS.ZStealer.26645,也被称为Predator the Thief信息窃取者。
去年四月,Dr.Web报道同一个网络犯罪集团破坏了视频编辑软件VDSC的网站,并使用其链接分发Bolij.2和KPOT Stealer恶意软件。然而,在这些最近的广告系列中,不需要网站妥协,因为攻击者只是创建了自己的虚假网站。