Comodo AV Labs попереджає про безкоштовне шахрайство

Час читання: 5 протокол

Більшість зловмисних програм, створених сьогодні, призначені для отримання доходу авторам шкідливих програм. Це не дивно, але дивно, наскільки креативними можуть бути ці цифрові злочинці. В Комодо А.В Labs ми спостерігаємо та аналізуємо численні схеми, прийоми та методи, які вони використовують для отримання неправомірної вигоди, зокрема:

• Безпосереднє створення валюти
• Непрямі методи заробітку
  • • інформація крадеться та далі продається за реальні гроші, фінансові облікові дані вкрадені та використовуються для крадіжки коштів, трафік, який створюється на певних веб-сайтах з рекламою, таким чином приносить дохід
• Прямі способи оплати, як-от програми-вимагачі
  • Автори шкідливих програм кодують шкідливі програми, які змушують або обманом змушують постраждалих користувачів здійснювати прямі платежі їм як викуп.
  •  Напр Cryptolocker шкідливе програмне забезпечення, Шкідливі антивіруси або нещодавно відкритий метод «оплатити безкоштовне програмне забезпечення».

Безкоштовна афера з продажу

Нещодавно ми спостерігали зростання нової схеми прямих платежів, коли жертви обманом змушують платити завантажити безкоштовне програмне забезпечення. Це дуже привабливий підхід для кіберзлочинців. Автору не потрібно витрачати час і гроші на створення складної програми, яка насправді потрібна користувачеві. Їм навіть не потрібно писати фальшиву програму, яка виглядає справжньою.

Після того, як додаток оплачено та встановлено, користувач може ніколи нічого не підозрювати, оскільки програма працює належним чином. Навіть якщо жертва дізнається, що заплатила за те, що могла отримати безкоштовно, шахрая не підключено до програмного забезпечення, і його буде майже неможливо відстежити.

Автор шкідливого програмного забезпечення може запустити свою схему за допомогою трьох простих кроків. Спочатку встановлюється спосіб оплати для використання в процесі. Це змінюється, але включає онлайн-оплату, банківський переказ і додаткову плату за SMS.

По-друге, вони створюють спеціальний інсталятор із «платою за встановлення», який реалізує попередній встановлений платіжний сервіс і або загортає налаштування оригінального програмного забезпечення, або завантажує законну програму зі спеціального місця під час здійснення платежу.

По-третє, вони «рекламують» додаток потенційним жертвам. Цього можна досягти за допомогою чорних хет-тріків пошукової оптимізації, методів, широко використовуваних авторами шкідливих програм, за допомогою реклами, спаму тощо.

Аналіз реального прикладу життя

Ми зіткнулися з таким типом обману серед деяких проаналізованих нами шкідливих програм. Наведена нижче інформація має допомогти користувачам зрозуміти загрозу та пропонує деякі основні правила, щоб уникнути шахрайства таким чином.

Після запуску програма відображає вітальне повідомлення та повідомляє, що це інсталятор «Mozilla Firefox 26.0», добре відомого, законного та безкоштовного веб-браузера.

Наступний крок інсталяції переносить користувача на екран, де вказано, що для встановлення програми необхідно здійснити платіж через додаткове SMS на номер 81126. Воно обіцяє користувачеві, що буде доставлено інсталяційний код. і процес можна продовжувати. Якщо код не введено в поле редагування, встановлення не продовжується.

Вилучення файлу конфігурації з інсталятора відкриває деякі цікаві та тривожні деталі про кроки, які він виконує, а також коди, які використовуються в процесі.

Давайте розглянемо сценарій, коли користувач надсилає SMS-повідомлення, щоб отримати код встановлення.

Коли цей код записується в поле редагування, він звіряється з кодом у конфігурації, і відображається вікно повідомлення про те, що «Перший код дійсний.

На наступному кроці введіть другий із трьох необхідних кодів. Надішліть SMS з текстом X10 на номер 81126, і ви отримаєте повідомлення з кодом встановлення».

На закінчення, щоб отримати «код встановлення», потрібно було надіслати не одне, а три додаткових текстових повідомлення. Перший:

Потім другий «код»:

Після кожного введення коду через HTTP-виклик надсилається звіт, щоб зафіксувати використання дійсного коду. Для цього використовується домен vox-telecom.com. На веб-сайті, пов’язаному з цим доменом, немає жодної контактної інформації, інформації про компанію чи того, хто за цим стоїть.

Він має всі підказки того, що це налаштування, призначене для надання користувачам відтінку довіри, використовуючи назву відомої компанії з телекомунікаційний бізнес області.

Після того, як користувач також введе третій код, інсталятор переходить до завантаження законного інсталятора програми з softwareapp-pro.s3.amazonaws.com/uploads/program_file/file_url/167/ a680381d-79b3-4aa1-b0b0-8d748a09a486/ Firefox% 20.exe і запустить його.

Як видно на знімку, цифровий підпис дійсно підтверджує, що завантажена програма дійсна і її можна безпечно встановити.
Після завершення налаштування початковий інсталятор існує, залишаючи користувачеві щойно встановлену програму, яка насправді була безкоштовною, але він заплатив за неї.

Висновок

Щоб уникнути таких ситуацій, користувачі завжди повинні завантажувати програми з веб-сайту постачальника або авторитетного сайту завантаження, наприклад download.com. Остерігайтеся посилань, які просуваються через електронні листи, рекламу чи спливаючі вікна веб-сайту.

Також зверніть увагу на те, чи є потрібна вам програма безкоштовне програмне забезпечення або вам за це потрібно заплатити. Багато платних програм мають пробну версію, яку можна протестувати перед покупкою, а способи оплати описані в їх документації.

Важливо, остерігайтеся програмних програм, які під час інсталяції запитують оплату за допомогою телефону або SMS.

Але головне, найкращий спосіб захиститися від такого зловмисного програмного забезпечення – це встановити ефективне антивірус на вашу систему.

Зразок деталей:
SHA1: 95606b25cb0f39e27e9cdb30cb4647e2baf4d7fe
MD5: 255f8ec6eccdb85806cb4a9cad136439
Comodo Internet Security виявлення: TrojWare.Win32.ArchSMS.AB

ПОЧНІТЬ БЕЗКОШТОВНУ ПРОБУ БЕЗКОШТОВНО ОТРИМАЙТЕ СВОЙ МОМЕНТАЛЬНИЙ СКОРЕКАРД