読書の時間: 5 分
最近作成されたマルウェアのほとんどは、マルウェアの作成者に収入をもたらすように設計されています。 それは驚きではありませんが、これらのデジタル犯罪者がどれほど独創的になることができるかは驚くべきことです。 に コモドAV ラボ 私たちは、次のような不正な利益を得るために彼らが使用する多くのスキーム、トリック、および方法を観察して分析します。
- 通貨の直接作成
- 間接的なお金を稼ぐ方法
-
- 情報が盗まれ、さらにリアルマネーで販売され、金融情報が盗まれて資金を盗むために使用され、特定のWebサイトで発生した広告付きのトラフィックにより、収入が得られます
-
- ランサムウェアなどの直接支払い方法
- マルウェアの作者は悪意のあるアプリケーションをコード化し、影響を受けるユーザーを身代金として直接支払いを強要または騙します。
- 例えば Cryptolocker マルウェア、 不正なウイルス対策 または、新たに発見された「フリーウェアアプリケーションの支払い」方法。
詐欺のための無料
最近、被害者がだまされて支払うように騙される新しい直接支払いスキームの台頭を観察しました フリーウェアソフトウェアをダウンロードする。 これは、サイバー犯罪者にとって非常に魅力的なアプローチです。 著者は、ユーザーが実際に必要とする複雑なアプリケーションを作成するために時間とお金を費やす必要はありません。 彼らは本物に見える偽のプログラムを書く必要すらありません。
アプリケーションが有料でインストールされた後は、アプリケーションが期待どおりに機能するため、ユーザーは何も疑うことはありません。 被害者が無料で手に入れることができたものにお金を払ったとわかったとしても、詐欺師はソフトウェアに接続されておらず、追跡することはほとんど不可能です。
マルウェアの作成者は、XNUMXつの簡単な手順でスキームを起動できます。 まず、プロセスで使用する支払方法が確立されます。 これはさまざまですが、オンライン支払い、銀行振込、および追加料金SMSサービスが含まれます。
次に、以前のセットの支払いサービスを実装するカスタムの「有料インストール」インストーラーを作成し、元のソフトウェアのセットアップをラップするか、支払いが行われたときにカスタムの場所から正規のアプリケーションをダウンロードします。
第三に、彼らは潜在的な被害者にアプリケーションを「宣伝」します。 これは、検索エンジン最適化のブラックハットトリック、マルウェア作成者によって広く使用されている方法、広告、スパムなどを介して実現できます。
実際の例の分析
分析したいくつかの悪意のあるアプリケーションの中で、この種のトリックに遭遇しました。 次の情報は、ユーザーが脅威を理解するのに役立ち、この方法で詐欺に遭わないようにするためのいくつかの基本的なルールを提供します。
実行すると、アプリケーションはウェルカムメッセージを表示し、それが「Mozilla Firefox 26.0」という有名な合法的で無料のWebブラウザのインストーラであることを示します。
インストールの次のステップでは、アプリケーションをインストールするために、有料のSMS経由で番号81126に支払う必要があることを示す画面が表示されます。これにより、インストールコードが配信されることがユーザーに約束されます。プロセスは続行できます。 コードが編集ボックスに記述されていない場合、インストールは続行されません。
インストーラーから構成ファイルを抽出すると、実行中の手順やプロセスで使用されているコードについての興味深い興味深い内容が明らかになります。
ユーザーがSMSメッセージを送信してインストールコードを取得するシナリオを考えてみましょう。
このコードが編集ボックスに書き込まれると、構成内のコードと照合され、メッセージボックスが表示され、「最初のコードは有効です。
次のステップでは、10つの必要なコードの81126番目を入力します。 テキストXXNUMXを含むSMSをXNUMXに送信すると、インストールコードが記載されたメッセージが届きます。」
結論として、「設置コード」を取得するために送信する必要があったのはXNUMXつではなくXNUMXつの追加料金メッセージです。 最初:
次に、XNUMX番目の「コード」:
各コード入力後、有効なコードの使用を記録するために、http呼び出しを介してレポートが送信されます。 このために使用されるドメインは、vox-telecom.comです。 このドメインに関連付けられているWebサイトには、連絡先情報、会社の詳細、またはその背後にいる人物が含まれていません。
これは、既知の会社の名前を使用してユーザーに信頼の陰を与えることを目的としたセットアップであるというすべての手掛かりを持っています 電気通信事業 エリア。
ユーザーが3番目のコードも入力した後、インストーラーはsoftwareapp-pro.s167.amazonaws.com/uploads/program_file/file_url/680381/a79d-3b4-1aa0-b0b8-748d09a486a20/Firefox%2026.0Setup%から正規のアプリケーションインストーラーをダウンロードしますXNUMX.exeを実行します。
スナップショットに示されているように、デジタル署名は、ダウンロードされたアプリケーションが有効であり、安全にインストールできることを確認します。
セットアップが完了すると、最初のインストーラーが存在し、新しくインストールされたアプリケーション(実際にはフリーウェア)をユーザーに残しましたが、彼はその代金を支払いました。
まとめ
このような状況を回避するには、ユーザーは常にベンダーのWebサイトまたは信頼できるダウンロードサイト(download.comなど)からアプリケーションをダウンロードする必要があります。 メール、広告、またはウェブサイトのポップアップで宣伝されるリンクに注意してください。
また、必要なアプリケーションが フリーウェア または実際にそれを支払う必要があります。 多くの有料アプリケーションには試用版があり、購入前にテストすることができます。支払い方法はドキュメントに記載されています。
重要なのは、インストール時に電話またはSMSの追加料金番号による支払いを要求するソフトウェアアプリケーションに注意してください。
しかし、何よりも、そのようなマルウェアから保護する最善の方法は、効率的な アンチウイルス あなたのシステムで。
サンプルの詳細:
SHA1: 95606b25cb0f39e27e9cdb30cb4647e2baf4d7fe
MD5: 255f8ec6eccdb85806cb4a9cad136439
コモド インターネットセキュリティー 検出:TrojWare.Win32.ArchSMS.AB