Создатели банковского трояна Win32.Bolik.2, разработали очередную схему его распространения. Теперь мошенники клонируют популярные легитимные ресурсы, чтобы заразить устройства пользователей. Ранее преступники взламывали официальные сайты разработчиков ПО и заменяли безопасные ссылки на вредоносные. Таким образом пользователь загружал в систему троян.
Сейчас же киберпреступники решили сменить тактику. Благодаря созданию вредоносных клонов они сосредоточились на совершенствовании своей программы. В последних кампаниях киберпреступники маскировали свой ресурс под официальный сайт популярного VPN-сервиса NordVPN. Фейковый сайт nord-vpn[.]club практически досконально повторяет оригинальный ресурс nordvpn.com.
При этом принадлежащий злоумышленникам веб-сайт имел действительный SSL-сертификат, выданный центром сертификации Let’s Encrypt 3 августа. Срок жизни этого сертификата подойдёт к концу 1 ноября.
