Специалисты вирусной лаборатории «Доктор Веб» обнаружили, что хакеры используют копии сайтов популярных сервисов для распространения опасного банковского троянца . Один из таких ресурсов копирует известный VPN-сервис, а другие замаскированы под сайты корпоративных офисных программ.
Недавно копию сайта популярного VPN-сервиса NordVPN наши специалисты обнаружили по адресу nord-vpn[.]club. Как и на оригинальном ресурсе, пользователю предлагается скачать программу для использования VPN, но вместе с ней авторы подделки распространяют опасного банковского троянца – .
Внешне копия сайта почти не отличается от оригинала: у нее тот же дизайн, похожее доменное имя и действительный SSL-сертификат.
Согласно нашим данным, вирусная кампания, использующая сайт-подделку, ориентирована преимущественно на англоязычную аудиторию и была запущена 08.08.2019. Однако уже на момент публикации этой статьи вредоносный сайт насчитывал тысячи посещений.
Кроме того, в конце июня этого года та же группа хакеров создала копии сайтов офисных программ invoicesoftware360[.]xyz (оригинал — invoicesoftware360[.]com) и clipoffice[.]xyz (оригинал – crystaloffice[.]com), где тоже распространялся троянец , а также стилер Trojan.PWS.Stealer.26645.
Троянец представляет собой улучшенную версию и имеет свойства многокомпонентного полиморфного файлового вируса. С помощью него хакеры могут выполнять веб-инжекты, перехват трафика, кейлоггинг и похищать информацию из систем «банк-клиент».
Ранее эти же злоумышленники распространяли через взломанный сайт программы для обработки видео, о чем мы сообщали в новости.
Все версии этого троянца успешно детектируются и удаляются антивирусом Dr.Web и не представляют опасности для наших пользователей.
Недавно копию сайта популярного VPN-сервиса NordVPN наши специалисты обнаружили по адресу nord-vpn[.]club. Как и на оригинальном ресурсе, пользователю предлагается скачать программу для использования VPN, но вместе с ней авторы подделки распространяют опасного банковского троянца – .
Внешне копия сайта почти не отличается от оригинала: у нее тот же дизайн, похожее доменное имя и действительный SSL-сертификат.
Согласно нашим данным, вирусная кампания, использующая сайт-подделку, ориентирована преимущественно на англоязычную аудиторию и была запущена 08.08.2019. Однако уже на момент публикации этой статьи вредоносный сайт насчитывал тысячи посещений.
Кроме того, в конце июня этого года та же группа хакеров создала копии сайтов офисных программ invoicesoftware360[.]xyz (оригинал — invoicesoftware360[.]com) и clipoffice[.]xyz (оригинал – crystaloffice[.]com), где тоже распространялся троянец , а также стилер Trojan.PWS.Stealer.26645.
Троянец представляет собой улучшенную версию и имеет свойства многокомпонентного полиморфного файлового вируса. С помощью него хакеры могут выполнять веб-инжекты, перехват трафика, кейлоггинг и похищать информацию из систем «банк-клиент».
Ранее эти же злоумышленники распространяли через взломанный сайт программы для обработки видео, о чем мы сообщали в новости.
Все версии этого троянца успешно детектируются и удаляются антивирусом Dr.Web и не представляют опасности для наших пользователей.