Comodo AV Labs advarer om gratis til salgs-svindel

Lesetid: 5 minutter

Det meste av skadelig programvare som lages i disse dager er designet for å generere inntekter til skadevareforfatterne. Det er ikke en overraskelse, men det er utrolig hvor kreative disse digitale kriminelle kan være. På Comodo AV Labs vi observerer og analyserer de mange ordningene, triksene og metodene de bruker for å oppnå sin dårlige vinning, inkludert:

• Direkte opprettelse av valuta
• Indirekte metoder for å tjene penger
  • • informasjon blir stjålet og videre solgt for ekte penger, økonomisk legitimasjon stjålet og brukt til å stjele midler, trafikk generert på bestemte nettsteder med annonser, og dermed generere inntekter
• Direkte betalingsmetoder, for eksempel løsepengeprogramvare
  • Skadevareforfattere koder ondsinnede applikasjoner som tvinger eller lurer berørte brukere til å betale direkte til dem som løsepenger.
  •  Eg Cryptolocker malware, Rogue antivirus eller den nylig oppdagede metoden "betal for et gratisprogram".

Gratis for salg svindel

Nylig har vi observert fremveksten av en ny direktebetalingsordning der ofre blir lurt til å betale til last ned gratis programvare. Dette er en veldig attraktiv tilnærming for cyberkriminelle. Forfatteren trenger ikke bruke tid og penger på å lage en kompleks applikasjon som brukeren faktisk trenger. De trenger ikke engang å skrive et falskt program som ser ekte ut.

Etter at applikasjonen er betalt og installert, kan det hende at brukeren aldri mistenker noe fordi applikasjonen fungerer som forventet. Selv om offeret finner ut at de har betalt for noe de kunne ha fått gratis, er svindleren ikke koblet til programvaren og vil være nesten umulig å spore.

Skadevareforfatteren kan starte opplegget sitt med tre enkle trinn. Først etableres en betalingsmåte for bruk i prosessen. Dette varierer, men inkluderer nettbetaling, bankoverføring og tilleggsavgift for SMS-tjenester.

For det andre oppretter de et tilpasset "betal for å installere" installasjonsprogram som implementerer den forrige betalingstjenesten og enten omslutter oppsettet av den originale programvaren eller laster ned den legitime applikasjonen fra et tilpasset sted når betalingen er utført.

For det tredje "promoterer" de søknaden til potensielle ofre. Dette kan oppnås via søkemotoroptimalisering, svarte hat-tricks, metoder som er mye brukt av skadevareforfatterne, via annonser, spam og mer.

Analyse av virkelige eksempel

Vi har støtt på denne typen lureri blant noen ondsinnede applikasjoner vi har analysert. Følgende informasjon skal hjelpe brukere med å forstå trusselen og tilbyr noen grunnleggende regler for å unngå å bli svindlet på denne måten.

Ved kjøring viser applikasjonen en velkomstmelding og sier at den er et installasjonsprogram for "Mozilla Firefox 26.0", den velkjente, legitime og gratis nettleseren.

Neste trinn i installasjonen bringer brukeren til et skjermbilde som sier at for at applikasjonen skal installeres, må en betaling foretas via en tilleggs-SMS til nummeret 81126. Den lover brukeren at en installasjonskode vil bli levert og prosessen kan fortsette. Hvis koden ikke er skrevet i redigeringsboksen, fortsetter ikke installasjonen.

Å trekke ut konfigurasjonsfilen fra installasjonsprogrammet avslører noen mer interessante og alarmerende detaljer om trinnene den tar og også kodene som brukes i prosessen.

La oss vurdere et scenario der brukeren sender en SMS-melding for å hente installasjonskoden.

Når denne koden skrives inn i redigeringsboksen, verifiseres den mot den i konfigurasjonen og en meldingsboks vises som sier at "Den første koden er gyldig.

I neste trinn skriver du inn den andre av de tre nødvendige kodene. Send en SMS med teksten X10 til 81126 og du vil motta en melding med installasjonskoden din."

Avslutningsvis var det ikke én, men tre tilleggstekstmeldinger som måtte sendes for å hente en "installasjonskode". Den første:

Så den andre "koden":

Etter hver kodeinntasting sendes en rapport via et http-anrop for å registrere bruken av en gyldig kode. Domenet som brukes til dette er vox-telecom.com. Nettstedet knyttet til dette domenet har ingen kontaktinformasjon, firmadetaljer eller hvem som står bak.

Den har alle hint om at det er et oppsett ment å gi brukerne en nyanse av tillit ved å bruke navnet på et kjent selskap fra telekommunikasjonsvirksomhet område.

Etter at brukeren har lagt inn den tredje koden også, fortsetter installasjonsprogrammet med å laste ned det legitime applikasjonsinstallasjonsprogrammet fra softwareapp-pro.s3.amazonaws.com/ uploads/ program_file/file_url/167/ a680381d-79b3-4aa1-b0b0-8d748a09a486/ Firefox%20Setup 2026.0.exe og kjører den.

Som vist på øyeblikksbildet, bekrefter den digitale signaturen at den nedlastede applikasjonen er gyldig og kan installeres trygt.
Etter at oppsettet er fullført, eksisterer det første installasjonsprogrammet, som etterlater brukeren med et nylig installert program som faktisk var gratisprogram, men han betalte for det.

konklusjonen

For å unngå slike situasjoner bør brukere alltid laste ned applikasjoner fra leverandørens nettsted eller et anerkjent nedlastingssted som download.com. Vær oppmerksom på lenker som markedsføres via e-post, annonser eller popup-vinduer på nettstedet.

Også, gjør et poeng for å sjekke om programmet du trenger er freeware eller faktisk må du betale for det. Mange betalte applikasjoner har en prøveversjon som kan testes før du kjøper dem, med betalingsmåter beskrevet i dokumentasjonen.

Viktigere, pass deg for programvareapplikasjoner som ber om betaling via telefon- eller SMS-avgiftsnumre ved installasjon.

Men mest av alt, den beste måten å bli beskyttet mot slik skadevare er ved å installere en effektiv antivirus på systemet ditt.

Eksempeldetaljer:
SHA1: 95606b25cb0f39e27e9cdb30cb4647e2baf4d7fe
MD5: 255f8ec6eccdb85806cb4a9cad136439
Comodo Internet Security deteksjon: TrojWare.Win32.ArchSMS.AB

START GRATIS PRØVEPERIODE FÅ DIN KJENTE SIKKERHETSSCORECARD GRATIS