Le Trojan bancaire Bolik est diffusé sous couvert de NordVPN
Top des actualités Doctor Web | Hot news | Toutes les actualités | Alertes virales
Le 19 août 2019
Récemment, nos experts ont trouvé une copie du site du service VPN populaire NordVPN à l'adresse nord-vpn[.]club. Tout comme sur le site original, l'utilisateur est invité à télécharger un programme qui fournit un service VPN mais en parallèle de ce logiciel, les pirates diffusent le Trojan bancaire Win32.Bolik.2 .
La copie est très similaire à l'original, elle a le même design, son nom de domaine est similaire et son certificat SSL est valide.
Selon nos données, le site pirate cible principalement les utilisateurs anglophones et a été lancé le 08.08.2019. Au moment de cette publication, le site malveillant a déjà reçu des milliers de visites.
De plus, fin juin 2019, le même groupe de pirates a créé des copies de sites relatifs à des logiciels bureautiques : invoicesoftware360[.]xyz (original - invoicesoftware360[.]com) et clipoffice[.]xyz (original - crystaloffice[.]com), qui propagent le même Trojan Win32.Bolik.2 et le Trojan Stealer Trojan.PWS.Stealer.26645.
Le Trojan Win32.Bolik.2 représente une version améliorée de Win32.Bolik.1 et possède les propriétés d'un virus de fichiers polymorphes multi-composants. En utilisant ce malware, les pirates peuvent effectuer des injections web, intercepter le trafic, enregistrer les frappes clavier et voler des informations des systèmes " banque-client ".
Auparavant, les mêmes criminels ont diffusé Win32.Bolik.2 à l'aide d'un site piraté dédié à un éditeur vidéo, nous en avons parlé dans notre news
Dr.Web Antivirus détecte et supprime toutes les versions de ce Trojan, qui ne représentent donc aucun danger pour nos utilisateurs.
#banker #Trojan_bancaire #stealer