Le 19 août 2019

Les experts du laboratoire de Doctor Web ont révélé que les pirates utilisent des copies de sites offrant des services spécifiques pour propager le Trojan bancaire Win32.Bolik.2. Une de ces copies imite un service VPN populaire, tandis que les autres sont déguisées en des sites dédiés à des logiciels de bureautique.

Récemment, nos experts ont trouvé une copie du site du service VPN populaire NordVPN à l'adresse nord-vpn[.]club. Tout comme sur le site original, l'utilisateur est invité à télécharger un programme qui fournit un service VPN mais en parallèle de ce logiciel, les pirates diffusent le Trojan bancaire Win32.Bolik.2 .

La copie est très similaire à l'original, elle a le même design, son nom de domaine est similaire et son certificat SSL est valide.

Selon nos données, le site pirate cible principalement les utilisateurs anglophones et a été lancé le 08.08.2019. Au moment de cette publication, le site malveillant a déjà reçu des milliers de visites.

De plus, fin juin 2019, le même groupe de pirates a créé des copies de sites relatifs à des logiciels bureautiques : invoicesoftware360[.]xyz (original - invoicesoftware360[.]com) et clipoffice[.]xyz (original - crystaloffice[.]com), qui propagent le même Trojan Win32.Bolik.2 et le Trojan Stealer Trojan.PWS.Stealer.26645.

Le Trojan Win32.Bolik.2 représente une version améliorée de Win32.Bolik.1 et possède les propriétés d'un virus de fichiers polymorphes multi-composants. En utilisant ce malware, les pirates peuvent effectuer des injections web, intercepter le trafic, enregistrer les frappes clavier et voler des informations des systèmes " banque-client ".

Auparavant, les mêmes criminels ont diffusé Win32.Bolik.2 à l'aide d'un site piraté dédié à un éditeur vidéo, nous en avons parlé dans notre news

Dr.Web Antivirus détecte et supprime toutes les versions de ce Trojan, qui ne représentent donc aucun danger pour nos utilisateurs.

Indicateurs de compromission

#banker #Trojan_bancaire #stealer