El Balik de Troya como una amenaza malware peligroso está siendo difundido en sitios falsos de piratas informáticos a medida, en el caso de los ataques en curso que son sitios falsos VPN. De acuerdo con los informes de seguridad disponibles esto se hace mediante el uso de un enfoque sofisticado. El grupo criminal, de los cuales no tenemos información concreta, está usando un editor multimedia libre para crear los sitios VPN falsos. Están alojados en direcciones que suenan similares a los de los servicios legales utilizados por los usuarios finales.
Sitios VPN falsos usados como conductos para la difusión del Balik de Troya
Los delincuentes informáticos están tratando activamente a los usuarios de computadoras estafa en ser infectado con el troyano Balik. Lo que sabemos es que los intentos anteriores de la difusión de esta amenaza en particular hecho por la piratería portales de descarga y varias páginas de internet, en este momento el principal método es construir páginas de destino peligrosos que aparecen a los usuarios finales como los servicios VPN legítimos y herramientas de privacidad.
Por el momento las intrusiones se llevan a cabo a través de varios sitios que son copias casi perfectas de la servicio de VPN del Norte - que incluyen contenidos que se copian exactamente desde el sitio original. También están alojados en los nombres de dominio que suenan similares que a menudo se confunden con los usuarios. Lo que es particularmente preocupante acerca de esta amenaza en particular es que incluye un certificado de seguridad legítima que no le pedirá los navegadores para mostrar mensajes de advertencia relativos a la privacidad de las páginas.
El Bolik de Troya que se entrega por estas campañas es una amenaza de malware mejorada apartada puede ser utilizado para una variedad de tareas peligrosas:
- inyección web - Este componente tiene la capacidad de interactuar con los navegadores web y manipular las páginas mostradas y campos.
- Instalación keylogger - Estos son los scripts o programas de tamaño pequeño que adquirirán la entrada del usuario de las víctimas y la comunicará a los operadores.
- El robo de datos - Los criminales pueden buscar datos que se pueden exponer información sensible sobre las víctimas y las contraseñas almacenadas o credenciales de la cuenta.
El comportamiento de la Bolik de Troya es típico de la mayoría del malware bancario - que está diseñado principalmente para identificar si los usuarios están ejecutando cualquiera de los servicios de banca en línea y secuestrar los datos de cuenta utilizada.