Comodo AV Labs varoittaa ilmaiseksi myytävästä huijauksesta

Lukuaika: 5 pöytäkirja

Suurin osa nykyään luodusta haittaohjelmasta on suunniteltu tuottamaan tuloja haittaohjelmien kirjoittajille. Se ei ole yllätys, mutta on hämmästyttävää, kuinka luovat nämä digitaaliset rikolliset voivat olla. at Comodo AV Labs Tarkkailemme ja analysoimme monia järjestelmiä, temppuja ja menetelmiä, joita he käyttävät huonosti saatujen voittojen saamiseen, mukaan lukien:

• Suora valuutan luominen
• Epäsuorat rahankäyntimenetelmät
  • • Tiedot varastetaan ja myydään edelleen oikealla rahalla, taloudelliset valtakirjat varastetaan ja käytetään varastamaan varoja, liikennettä, joka on tuotettu tietyillä verkkosivustoilla, joissa on mainoksia, jolloin syntyy tuloja
• Suorat maksutavat, kuten ransomware
  • Haittaohjelmien kirjoittajat koodittavat pahoja sovelluksia, jotka pakottavat tai huijaavat käyttäjiä suorittamaan suoria maksuja heille lunnaana.
  •  Esim Cryptolocker haittaohjelmat, Rogue antivirus tai hiljattain löydetty “maksa ilmaisesta sovelluksesta” -menetelmä.

Ilmaiseksi myytävänä huijaus

Viime aikoina olemme havainneet uuden suoran tukijärjestelmän nousun, jossa uhrit huijataan maksamaan lataa ilmainen ohjelmisto. Tämä on erittäin houkutteleva lähestymistapa verkkorikollisille. Kirjailijan ei tarvitse viettää aikaa ja rahaa monimutkaisen sovelluksen luomiseen, jota käyttäjä todella tarvitsee. Heidän ei tarvitse edes kirjoittaa vääriä ohjelmia, jotka näyttävät todellisilta.

Kun sovelluksesta on maksettu ja asennettu, käyttäjä ei saa koskaan epäillä mitään, koska sovellus toimii odotetusti. Vaikka uhri selvitti maksaneensa jostakin, jonka he olisivat voineet saada ilmaiseksi, pettajaa ei ole liitetty ohjelmistoon, ja sitä on lähes mahdoton jäljittää.

Haittaohjelmien kirjoittaja voi käynnistää järjestelmänsä kolmella yksinkertaisella vaiheella. Ensin perustetaan prosessissa käytettävä maksutapa. Tämä vaihtelee, mutta sisältää verkkomaksut, pankkisiirron ja lisämaksutelevisiopalvelut.

Toiseksi he luovat mukautetun "maksa-asennukselle" -asentajan, joka toteuttaa edellisen asetetun maksupalvelun ja joko kääri alkuperäisen ohjelmiston asennuksen tai lataa laillisen sovelluksen mukautetusta sijainnista, kun maksu suoritetaan.

Kolmanneksi he "mainostavat" sovellusta potentiaalisille uhreille. Tämä voidaan saavuttaa hakukoneoptimoinnin mustahattujen temppujen, haittaohjelmien tekijöiden laajalti käyttämien menetelmien, mainosten, roskapostin ja muun avulla.

Analyysi tosielämän esimerkistä

Olemme kohdanneet tämän tyyppisiä huijauksia joidenkin analysoimiemme haittaohjelmien joukossa. Seuraavien tietojen tulisi auttaa käyttäjiä ymmärtämään uhka ja tarjoamaan joitain perussääntöjä, jotta vältetään huijaus tällä tavalla.

Suoritettuaan sovellus näyttää tervetulosanoman ja ilmoittaa olevansa "Mozilla Firefox 26.0", tunnetun, laillisen ja ilmaisen web-selaimen asentaja.

Asennuksen seuraava vaihe vie käyttäjän näytölle, jossa ilmoitetaan, että sovelluksen asentamiseksi on suoritettava maksu lisämaksutekstiviestillä numeroon 81126. Se lupaa käyttäjälle, että asennuskoodi toimitetaan ja prosessi voi jatkua. Jos koodia ei ole kirjoitettu muokkausruutuun, asennusta ei jatketa.

Konfiguraatiotiedoston purkaminen asentajalta paljastaa joitain mielenkiintoisempia ja hälyttäviä yksityiskohtia suorittamistaan ​​vaiheista sekä prosessissa käytetyistä koodeista.

Tarkastellaan tilannetta, jossa käyttäjä lähettää tekstiviestin asennuskoodin hakemiseksi.

Kun tämä koodi kirjoitetaan muokkausruutuun, se tarkistetaan konfiguraatiossa olevaan nähden ja näyttöön tulee sanoma, jossa sanotaan, että ”ensimmäinen koodi on kelvollinen.

Syötä seuraavassa vaiheessa toinen kolmesta vaadittavasta koodista. Lähetä tekstiviesti tekstillä X10 numeroon 81126 ja saat viestin asennuskoodisi kanssa. ”

Yhteenvetona voidaan todeta, että se ei ollut yksi, vaan kolme lisämaksutekstiviestiä, jotka tarvitsi lähettää “asennuskoodin” hakemiseksi. Ensimmäinen:

Sitten toinen "koodi":

Jokaisen kooditulon jälkeen lähetetään raportti http-puhelun kautta kelvollisen koodin käytön kirjaamiseksi. Tätä varten käytetty verkkotunnus on vox-telecom.com. Tähän verkkotunnukseen liittyvällä verkkosivustolla ei ole yhteystietoja, yritystietoja tai kuka sen takana on.

Sillä on kaikki vihjeet siitä, että sen perustamisella on tarkoitus antaa käyttäjille luottamus varjossa käyttämällä tunnetun yrityksen nimeä tietoliikenne alueella.

Kun käyttäjä on syöttänyt myös kolmannen koodin, asennusohjelma jatkaa laillisen sovelluksen asentajan lataamista ohjelmistosta propro.s3.amazonaws.com/ uploads / program_file / file_url / 167 / a680381d-79b3-4aa1-b0b0-8d748a09a486 / Firefox% 20Setup% 2026.0.exe ja suorittaa sen.

Kuten tilannekuvasta nähdään, digitaalinen allekirjoitus todellakin vahvistaa, että ladattu sovellus on kelvollinen ja että se voidaan asentaa turvallisesti.
Kun asennus on valmis, alkuperäinen asennusohjelma on olemassa, jolloin käyttäjälle on vasta asennettu sovellus, joka oli itse asiassa ilmainen ohjelmisto, mutta hän maksoi siitä.

Yhteenveto

Tällaisten tilanteiden välttämiseksi käyttäjien on aina ladattava sovelluksia myyjän verkkosivustolta tai hyvämaineiselle lataussivustolle, kuten download.com. Varo linkkejä, joita mainostetaan sähköpostien, mainosten tai verkkosivustojen ponnahdusikkunoiden kautta.

Muista myös tarkistaa, onko tarvitsemasi sovellus freeware tai todellakin sinun on maksettava siitä. Monilla maksutetuilla sovelluksilla on kokeiluversio, joka voidaan testata ennen niiden ostamista, ja maksumenetelmät on kuvattu heidän dokumenteissaan.

Tärkeää on, että varokaa ohjelmistosovelluksia, jotka vaativat maksua puhelimitse tai SMS-lisämaksunumeroilla asennuksen yhteydessä.

Mutta ennen kaikkea paras tapa suojautua tällaisilta haittaohjelmilta on asentamalla tehokas antivirus järjestelmässäsi.

Näytteen yksityiskohdat:
SHA1: 95606b25cb0f39e27e9cdb30cb4647e2baf4d7fe
MD5: 255f8ec6eccdb85806cb4a9cad136439
Comodo Internet Security havaitseminen: TrojWare.Win32.ArchSMS.AB

ALOITA ILMAINEN KOKEILU SAA VAKAA TURVALLISUUSKORTTI ILMAISEKSI