Банковский троян Bolik 2 распространяют через фейковый сайт NordVPN

Банковский троян Bolik 2 распространяют через фейковый сайт NordVPN

Банковский троян Bolik 2 распространяют через фейковый сайт NordVPN

Злоумышленники, стоящие за банковским трояном Win32.Bolik.2, придумали новую схему его распространения. Теперь киберпреступники создают клоны легитимных сайтов, заражающих посетителей этой вредоносной программой.

Ранее преступники взламывали официальные сайты разработчиков известных программ и подменяли безопасные ссылки, по которым пользователи скачивали приложения, на вредоносные, загружающие в систему троян.

Смена тактики — создание вредоносных клонов — помогла злоумышленникам сосредоточиться на совершенствовании своей программы.

В последних кампаниях киберпреступники маскировали свой ресурс под официальный сайт популярного VPN-сервиса NordVPN. В результате вредоносный сайт, располагающийся по адресу nord-vpn[.]club, стал почти идеальной копией официального ресурса, настоящий адрес которого — nordvpn.com.

При этом принадлежащий злоумышленникам веб-сайт имел действительный SSL-сертификат, выданный центром сертификации Let’s Encrypt 3 августа. Срок жизни этого сертификата подойдёт к концу 1 ноября.

«Троян Win32.Bolik.2 представляет собой усовершенствованную версию Win32.Bolik.1. В новом образце были замечены полиморфные способности», — рассказали эксперты антивирусной компании «Доктор Веб», которые первыми обнаружили кампанию злоумышленников.

«Используя этот вредонос, атакующие могут осуществлять веб-инъекции, перехватывать трафик, выполнять функции кейлоггера и красть информацию из разных банковских клиентов».

В ONLYOFFICE нашли цепочку уязвимостей: достаточно открыть один файл

Эксперты BI.ZONE обнаружили в ONLYOFFICE Desktop Editors цепочку уязвимостей OnlyShells, которая позволяла атакующему выполнить произвольный код и повысить привилегии в Windows. Жертве достаточно открыть специально подготовленный офисный документ.

Никаких макросов, кнопок «Разрешить содержимое» и долгих уговоров — атака относится к классу 1-click.

Сначала злоумышленник мог использовать сразу несколько уязвимостей для запуска своего кода в системе. Затем ещё одна проблема позволяла повысить права до привилегированного пользователя. В результате атакующий получал максимально широкий доступ к компьютеру.

Причиной стали недостаточная проверка пользовательских данных и устаревшие зависимости. Отдельным уязвимостям присвоили оценки до 6,4 по шкале CVSS 3.1, но в связке их опасность заметно возрастала.

По оценке BI.ZONE TDR, ONLYOFFICE используют около 30% российских компаний. Сам разработчик заявляет о более чем 15 млн пользователей по всему миру.

В BI.ZONE отмечают, что современные средства защиты могут не заметить сам момент эксплуатации цепочки. То есть пользователь просто открывает документ, а дальше система уже начинает жить немного не своей жизнью.

Разработчика уведомили в рамках ответственного раскрытия, после чего он выпустил исправление. Пользователям рекомендуют обновить ONLYOFFICE Desktop Editors до версии 9.3.0.

RSS: Новости на портале Anti-Malware.ru