Los atacantes que previamente violaron y abusaron del sitio web del editor multimedia gratuito VSDC para distribuir el troyano bancario Win32.Bolik.2 ahora han cambiado sus estrategias.
Mientras que anteriormente piratearon sitios web legítimos para secuestrar enlaces de descarga infectados con malware, los piratas informáticos ahora están creando clones de sitios web para entregar troyanos bancarios en las computadoras de las víctimas desprevenidas.
Esto les permite concentrarse en agregar más capacidades a sus herramientas maliciosas en lugar de perder tiempo al tratar de infiltrarse en los servidores y sitios web de negocios legítimos.
Más concretamente, están distribuyendo activamente el troyano bancario Win32.Bolik.2 a través del sitio web nord-vpn [.] Club, un clon casi perfecto del sitio oficial nordvpn .com utilizado por el popular servicio de VPN.
Miles de víctimas potenciales
El sitio web clonado también tiene un certificado SSL válido emitido por la autoridad de certificación abierta Let’s Encrypt el 3 de agosto, con una fecha de vencimiento del 1 de noviembre.
“El troyano Win32.Bolik.2 es una versión mejorada de Win32.Bolik.1 y tiene las cualidades de un virus de archivo polimórfico multicomponente”, según afirman los investigadores Dr Web que vieron la campaña.
“Al usar este malware, los piratas informáticos pueden realizar inyecciones en la web, interceptar el tráfico, registrar claves y robar información de diferentes sistemas de clientes bancarios”.
