Baden-Baden, 19. August 2019

Das Team des Virenlabors von Doctor Web hat herausgefunden, dass Hacker Kopien beliebter Websites verwenden, um den gefährlichen Banktrojaner Win32.Bolik.2 zu verbreiten. Eine dieser Websites kopiert einen bekannten VPN-Dienst, während andere als Websites von Unternehmensbürosoftware getarnt sind.

Vor kurzem haben unsere Spezialisten eine Kopie der Website des beliebten VPN-Dienstes NordVPN unter nord-vpn[.]club gefunden. Wie auf der Originalwebsite wird dem Benutzer angeboten, die App zur Nutzung von VPN herunterzuladen. Mit der App verbreiten aber die Cyberkriminellen den gefährlichen Banking-Trojaner Win32.Bolik.2.

Die Kopie ist fast identisch mit dem Original: Sie hat das gleiche Design, einen ähnlichen Domainnamen und ein gültiges SSL-Zertifikat.

Nach unseren Informationen richtet sich die Kampagne, wo eine gefälschte Website verwendet wird, in erster Linie an das englischsprachige Publikum und wurde am 08. August 2019 gestartet. Zum Zeitpunkt der Veröffentlichung dieses Beitrags hatte die bösartige Website jedoch bereits Tausende von Aufrufen.

Darüber hinaus hat die gleiche Gruppe von Hackern Ende Juni Kopien der Websites invoicesoftware360[.]xyz (das Original heißt invoicesoftware360[.]com) und clipoffice[.]xyz (das Original heißt crystaloffice[.]com) erstellt, wo Trojaner wie Win32.Bolik.2 und Trojan.PWS.Stealer.26645 verbreitet wurden.

Der Trojaner Win32.Bolik.2 ist eine verbesserte Version von Win32.Bolik.1 und hat die Eigenschaften eines polymorphen Dateivirus mit mehreren Komponenten. Er ermöglicht es Hackern, Web-Injektionen, Traffic-Hijacking, Keylogging und Datendiebstahl aus Bank-Client-Systemen durchzuführen.

Zuvor verbreiteten die gleichen Angreifer den Win32.Bolik.2 über die gehackte Website von Videoverarbeitungssoftware. Darüber haben wir in diesem Beitrag berichtet.

Alle Versionen dieses Trojaners werden durch Dr.Web Antivirus erfolgreich erkannt, entfernt und stellen für Dr.Web Nutzer keine Bedrohung dar.

Kompromittierungsindikatoren