據研究人員稱,網路犯罪分子最近為NordVPN虛擬專用網路服務和兩個辦公軟體產品設立了冒名頂替網站,企圖用Win32.Bolij.2銀行木馬感染訪問者。
Dr.Web在8月19日的公司博客文章中報道說,假冒的NordVPN網站nord-vpn [。]俱樂部於8月8日推出,本月迄今已吸引了數千名訪客。該網站非常逼真,具有與真實網站nordvpn.com相同的設計,配色方案和字體。它甚至還有一個有效的SSL證書。
欺詐性網站試圖誘使訪問者下載與Bolij2捆綁在一起的程序。Dr.Web研究人員將該木馬描述為Win32.Bolik.1的升級版本,並指出它「具有多組分多態文件病毒的特性」,並且「能夠執行網路注入,流量攔截,鍵盤記錄和竊取來自不同銀行的信息 – 客戶系統。「
去年6月,攻擊者發布了類似的情節,當時它複製了Invoice 360 Enterprise和Crystal Office Systems的網站,這兩個網站都製作了商業/辦公應用程序。Dr.Web表示,這個特殊的方案不僅提供了Bolij.2,還提供了Trojan.PWS.ZStealer.26645,也被稱為Predator the Thief信息竊取者。
去年四月,Dr.Web報道同一個網路犯罪集團破壞了視頻編輯軟體VDSC的網站,並使用其鏈接分發Bolij.2和KPOT Stealer惡意軟體。然而,在這些最近的廣告系列中,不需要網站妥協,因為攻擊者只是創建了自己的虛假網站。