Comodo AV Labs varnar för fusk till salu

Läsningstid: 5 minuter

Det mesta av skadlig programvara som skapats idag är utformat för att generera inkomster till skadlig programvara. Det är inte en överraskning, men det är fantastiskt hur kreativa dessa digitala brottslingar kan vara. På Comodo AV Labs vi observerar och analyserar de många scheman, tricks och metoder som de använder för att få sin dåliga vinst, inklusive:

• Direkt skapande av valuta
• Indirekte metoder för att tjäna pengar
  • • information stulas och säljs vidare för riktiga pengar, finansiella referenser stulna och används för att stjäla pengar, trafik genererad på specifika webbplatser med annonser, vilket genererar inkomst
• Direktbetalningsmetoder, till exempel ransomware
  • Malware-författare kodar onda applikationer som tvingar eller lurar berörda användare att göra direkta betalningar till dem som lösen.
  •  T.ex Cryptolocker skadliga program, Rogue antivirus eller den nyligen upptäckta metoden "betala för en freeware-applikation".

Gratis till salu Scam

Nyligen har vi observerat uppkomsten av ett nytt direktstödssystem där offren luras att betala till ladda ner freeware-programvara. Detta är en mycket attraktiv strategi för cyberbrottslingar. Författaren behöver inte spendera tid och pengar för att skapa en komplex applikation som användaren faktiskt behöver. De behöver inte ens skriva ett falskt program som ser riktigt ut.

Efter att applikationen har betalats för och installerats kanske användaren aldrig misstänker något eftersom applikationen fungerar som förväntat. Även om offret räknar ut att de betalade för något de kunde ha fått gratis, är bedragaren inte ansluten till programvaran och kommer nästan omöjligt att spåra.

Malware-författaren kan starta sitt schema med tre enkla steg. Först etableras en betalningsmetod för användning i processen. Detta varierar, men inkluderar onlinebetalning, banköverföring och tilläggs-SMS-tjänster.

För det andra skapar de ett anpassat "betal-till-installera" -installationsprogram som implementerar den tidigare uppsatta betalningstjänsten och antingen slår in installationen av den ursprungliga programvaran eller laddar ner den legitima applikationen från en anpassad plats när betalningen görs.

För det tredje "marknadsför" de ansökan till potentiella offer. Detta kan uppnås via sökmotoroptimering svarta hatttrick, metoder som ofta används av skadliga programförfattare, via annonser, skräppost och mer.

Analys av exempel på verkligt liv

Vi har stött på denna typ av knep bland vissa skadliga program som vi har analyserat. Följande information ska hjälpa användarna att förstå hotet och erbjuder några grundläggande regler för att undvika att bli lurad på detta sätt.

Vid körning visar applikationen ett välkomstmeddelande och säger att det är ett installationsprogram för "Mozilla Firefox 26.0", den välkända, legitima och gratis webbläsaren.

Nästa steg i installationen tar användaren till en skärm som säger att för att applikationen ska installeras måste en betalning göras via ett tilläggs SMS till numret 81126. Det lovar användaren att en installationskod kommer att levereras och processen kan fortsätta. Om koden inte skrivs i redigeringsrutan fortsätter installationen inte.

Att extrahera konfigurationsfilen från installationsprogrammet visar några mer intressanta och alarmerande detaljer om stegen den tar och även koderna som används i processen.

Låt oss överväga ett scenario där användaren skickar ett SMS-meddelande för att hämta installationskoden.

När den här koden skrivs in i redigeringsrutan verifieras den mot den i konfigurationen och en meddelanderuta visas med uppgift att ”Den första koden är giltig.

I nästa steg anger du den andra av de tre erforderliga koderna. Skicka ett SMS med texten X10 till 81126 så får du ett meddelande med din installationskod. ”

Sammanfattningsvis var det inte ett, utan tre tilläggstextmeddelande som behövde skickas för att hämta en "installationskod". Den första:

Sedan den andra "koden":

Efter varje kodinmatning skickas en rapport via ett http-samtal för att registrera användningen av en giltig kod. Domänen som används för detta är vox-telecom.com. Webbplatsen associerad med den här domänen har ingen kontaktinformation, företagsinformation eller vem som står bakom den.

Det har alla ledtrådar att det är en installation som är avsedd att ge användarna en nyans av förtroende genom att använda namnet på ett känt företag från telekommunikationsverksamhet området.

Efter att användaren också har matat in den tredje koden fortsätter installationsprogrammet att ladda ner det legitima programinstallationsprogrammet från softwareapp-pro.s3.amazonaws.com/ uploads / program_file / file_url / 167 / a680381d-79b3-4aa1-b0b0-8d748a09a486 / Firefox% 20Setup% 2026.0.exe och kör den.

Som framgår av ögonblicksbilden bekräftar den digitala signaturen verkligen att den nedladdade applikationen är giltig och kan säkert installeras.
När installationen är klar existerar det första installationsprogrammet, vilket lämnar användaren en nyinstallerad applikation som faktiskt var freeware, men han betalade för det.

Slutsats

För att undvika sådana situationer bör användarna alltid ladda ner applikationer från säljarens webbplats eller en ansedd nedladdningssida som download.com. Se upp för länkar som marknadsförs via e-post, annonser eller pop-ups på webbplatsen.

Också göra en punkt för att kontrollera om den applikation du behöver är freeware eller faktiskt måste du betala för det. Många betalda applikationer har en provversion som kan testas innan du köper dem, med betalningsmetoder som beskrivs deras dokumentation.

Det är viktigt att du är försiktig med mjukvaruprogram som begär betalning via telefon- eller SMS-tilläggsnummer vid installationen.

Men mest av allt är det bästa sättet att skyddas mot sådan skadlig programvara genom att installera en effektiv antivirus på ditt system.

Provdetaljer:
SHA1: 95606b25cb0f39e27e9cdb30cb4647e2baf4d7fe
MD5: 255f8ec6eccdb85806cb4a9cad136439
Comodo Internet Security upptäckt: TrojWare.Win32.ArchSMS.AB

PÅBÖRJA GRATIS FÖRSÖKSPERIOD FÅ DIN Omedelbara säkerhetskort GRATIS