NordVPN – Gli hacker utilizzano un sito Web fake per veicolare Trojan bancari

23/08/2019

NordVPN Win32.Bolik

Dalle attività di monitoraggio, il CERT-PA ha rilevato una campagna di diffusione malware che, per diffondersi, utilizza un sito fake del popolare strumento denominato NordVPN noto per stabilire connessioni VPN (virtual private network). Dalle informazioni si apprende che gli aggressori, già noti per aver violato il sito web dell’editor multimediale gratuito VSDC per distribuire il Trojan bancario Win32.Bolik.2, hanno ora cambiato tattica.

Mentre in precedenza hanno “hackerato” siti Web legittimi per dirottare collegamenti di download verso malware, la strategia attuale consiste nel creare copie identiche di siti Web per veicolare trojan bancari sui computer di ignare vittime. 

Allo scopo hanno tentato di distribuire il malware denominato “Win32.Bolik.2” tramite il sito web di nord-vpn[.]club, un clone quasi perfetto del sito ufficiale nordvpn[.]com utilizzato dal popolare servizio VPN, registrato il 3 agosto 2019. Al momento il sito non è più attivo, di seguito un’immagine acquisita durante le indagini svolte dai ricercatori di Doctor Web:

 

Come funziona il trojan 

Il trojan Win32.Bolik.2 è una versione migliorata di Win32.Bolik.1 e ha le qualità di un virus polimorfico multicomponente. Usando questo malware gli hacker possono eseguire attacchi di web injection, intercettare il traffico internet, attivare keylogging oltre che carpire informazioni nelle attività di home banking.

I primi attacchi risalgono all’8 agosto e si sono concentrati su obiettivi in lingua inglese e secondo le stime potrebbero aver coinvolto migliaia di vittime.

Indicatori di Compromissione (IoC) 

Si riportano gli indicatori di compromissione noti che vanno considerati validi nell’ambito delle logiche del trojan oggetto della news: 

  • IoC (.txt) – File globale: hash files, Domini, IP; 
  • IoC (.HASHr) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr