Leestijd: 5 minuten
De meeste malware die tegenwoordig wordt gemaakt, is ontworpen om inkomsten te genereren voor de malware-auteurs. Dat is geen verrassing, maar het is verbazingwekkend hoe creatief deze digitale criminelen kunnen zijn. Bij Comodo AV Labs we observeren en analyseren de vele schema's, trucs en methoden die ze gebruiken om hun onrechtmatig verkregen voordeel te verwerven, waaronder:
- Direct aanmaken van valuta
- Indirecte methoden om geld te verdienen
-
- informatie wordt gestolen en verder verkocht voor echt geld, financiรซle gegevens worden gestolen en gebruikt om geld te stelen, verkeer dat wordt gegenereerd op specifieke websites met advertenties, waardoor inkomsten worden gegenereerd
-
- Directe betaalmethoden, zoals ransomware
- Malwareschrijvers coderen kwaadaardige toepassingen die gebruikers ertoe dwingen of misleiden om hen rechtstreeks als losgeld te betalen.
- bv Cryptolocker malware, Rogue antivirussen of de nieuw ontdekte "betaal voor een freeware applicatie" methode.
Gratis te koop Scam
Onlangs hebben we de opkomst waargenomen van een nieuwe regeling voor rechtstreekse betaling waarbij slachtoffers worden misleid tot betaling freeware-software downloaden. Dit is een zeer aantrekkelijke aanpak voor cybercriminelen. De auteur hoeft geen tijd en geld te besteden aan het maken van een complexe applicatie die de gebruiker echt nodig heeft. Ze hoeven niet eens een nepprogramma te schrijven dat er echt uitziet.
Nadat de applicatie is betaald en geรฏnstalleerd, mag de gebruiker nooit iets vermoeden omdat de applicatie werkt zoals verwacht. Zelfs als het slachtoffer erachter komt dat ze hebben betaald voor iets dat ze gratis hadden kunnen krijgen, is de fraudeur niet verbonden met de software en is het bijna onmogelijk te traceren.
De malware-auteur kan zijn schema in drie eenvoudige stappen starten. Eerst wordt een betalingsmethode vastgesteld die in het proces kan worden gebruikt. Dit varieert, maar omvat online betaling, bankoverschrijving en sms-diensten tegen betaling.
Ten tweede maken ze een aangepast installatieprogramma "betalen om te installeren" dat de vorige ingestelde betalingsservice implementeert en ofwel de installatie van de originele software afrondt of de legitieme applicatie downloadt van een aangepaste locatie wanneer de betaling wordt gedaan.
Ten derde 'promoten' ze de toepassing bij potentiรซle slachtoffers. Dit kan worden bereikt via black hat-trucs voor zoekmachineoptimalisatie, methoden die veel worden gebruikt door de malwareschrijvers, via advertenties, spam en meer.
Analyse van het echte voorbeeld
We zijn dit soort bedrog tegengekomen bij enkele kwaadaardige applicaties die we hebben geanalyseerd. De volgende informatie moet gebruikers helpen de dreiging te begrijpen en biedt enkele basisregels om te voorkomen dat ze op deze manier worden opgelicht.
Na uitvoering geeft de applicatie een welkomstbericht weer en geeft aan dat het een installatieprogramma is voor "Mozilla Firefox 26.0", de bekende, legitieme en gratis webbrowser.
De volgende stap van de installatie brengt de gebruiker naar een scherm waarin staat dat om de applicatie te installeren, een betaling moet worden gedaan via een toeslag-sms naar het nummer 81126. Het belooft de gebruiker dat een installatiecode zal worden geleverd en het proces kan doorgaan. Als de code niet in het invoervak โโstaat, wordt de installatie niet voortgezet.
Door het configuratiebestand uit het installatieprogramma te extraheren, worden er meer interessante en alarmerende details over de stappen die het neemt en ook de codes die in het proces worden gebruikt, onthuld.
Laten we een scenario beschouwen waarin de gebruiker een sms-bericht verzendt om de installatiecode op te halen.
Wanneer deze code in het bewerkingsvak wordt geschreven, wordt deze vergeleken met die in de configuratie en wordt er een berichtvenster weergegeven met de melding: "De eerste code is geldig."
Voer in de volgende stap de tweede van de drie vereiste codes in. Stuur een sms met de tekst X10 naar 81126 en je ontvangt een bericht met je installatiecode. โ
Concluderend, het was niet รฉรฉn, maar drie extra sms-berichten die moesten worden verzonden om een โโ"installatiecode" op te halen. De eerste:
Dan de tweede "code":
Na elke code-invoer wordt een rapport verzonden via een http-oproep om het gebruik van een geldige code vast te leggen. Het domein dat hiervoor wordt gebruikt, is vox-telecom.com. De website die aan dit domein is gekoppeld, heeft geen contactgegevens, bedrijfsgegevens of wie er achter zit.
Het heeft alle aanwijzingen dat het een opzet is die bedoeld is om gebruikers een vleugje vertrouwen te geven door de naam te gebruiken van een bekend bedrijf telecommunicatie gebied.
Nadat de gebruiker ook de derde code heeft ingevoerd, gaat het installatieprogramma verder met het downloaden van het legitieme applicatie-installatieprogramma van softwareapp-pro.s3.amazonaws.com/ uploads / program_file / file_url / 167 / a680381d-79b3-4aa1-b0b0-8d748a09a486 / Firefox% 20Setup% 2026.0.exe en voert het uit.
Zoals te zien is in de momentopname, bevestigt de digitale handtekening inderdaad dat de gedownloade applicatie geldig is en veilig kan worden geรฏnstalleerd.
Nadat de installatie is voltooid, bestaat het eerste installatieprogramma en blijft de gebruiker achter met een nieuw geรฏnstalleerde applicatie die in feite freeware was, maar hij heeft ervoor betaald.
Conclusie
Om dergelijke situaties te vermijden, moeten gebruikers altijd applicaties downloaden van de website van de leverancier of een gerenommeerde downloadsite zoals download.com. Pas op voor links die worden gepromoot via e-mails, advertenties of pop-ups van websites.
Maak ook een punt om te controleren of de applicatie die u nodig heeft, is freeware of je moet er zelfs voor betalen. Veel betaalde applicaties hebben een proefversie die kan worden getest voordat ze worden gekocht, met betalingsmethoden die hun documentatie beschrijven.
Belangrijk is dat u op uw hoede bent voor softwaretoepassingen die bij de installatie om betaling vragen via telefoon of sms-toeslagnummers.
Maar bovenal is de beste manier om tegen dergelijke malware te worden beschermd, een efficiรซnte installatie antivirus op uw systeem.
Voorbeeld details:
SHA1: 95606b25cb0f39e27e9cdb30cb4647e2baf4d7fe
MD5: 255f8ec6eccdb85806cb4a9cad136439
Comodo internet Security detectie: TrojWare.Win32.ArchSMS.AB
START GRATIS VERZOEK KRIJG GRATIS UW DIRECTE BEVEILIGINGSSCOREKAART
- antivirus
- AV
- blockchain
- vindingrijk
- Comodo Nieuws
- cryptocurrency wallets
- cryptoexchange
- internetveiligheid
- cybercriminelen
- Cybersecurity
- Cyberbeveiliging Comodo
- Department of Homeland Security
- digitale portefeuilles
- firewall
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Plato
- plato ai
- Plato gegevensintelligentie
- Plato-spel
- PlatoData
- platogamen
- VPN
- website veiligheid
- zephyrnet
![De 3 meest voorkomende beveiligingsproblemen voor websites oplossen [Webinar]](https://platoblockchain.com/wp-content/uploads/2023/03/solving-the-3-most-common-website-security-problems-webinar.png "De 3 meest voorkomende beveiligingsproblemen voor websites oplossen [Webinar]")
