Comodo AV Labs cảnh báo miễn phí để bán Scam

Thời gian đọc: 5 phút

Hầu hết phần mềm độc hại được tạo ra ngày nay được thiết kế để tạo thu nhập cho các tác giả phần mềm độc hại. Đó không phải là một điều ngạc nhiên, nhưng thật đáng kinh ngạc khi những tên tội phạm kỹ thuật số này có thể sáng tạo như thế nào. Tại Comodo AV Phòng thí nghiệm chúng tôi quan sát và phân tích nhiều kế hoạch, thủ thuật và phương pháp mà họ sử dụng để đạt được lợi ích bất chính của họ, bao gồm:

• Trực tiếp tạo ra tiền tệ
• Các phương pháp kiếm tiền gián tiếp
  • • thông tin bị đánh cắp và bán tiếp để lấy tiền thật, thông tin tài chính bị đánh cắp và được sử dụng để ăn cắp tiền, lưu lượng truy cập được tạo trên các trang web cụ thể có quảng cáo, do đó tạo ra thu nhập
• Các phương thức thanh toán trực tiếp, chẳng hạn như ransomware
  • Người viết mã độc mã hóa các ứng dụng độc hại buộc hoặc lừa người dùng bị ảnh hưởng thực hiện thanh toán trực tiếp cho họ làm tiền chuộc.
  •  Ví dụ CryptoLocker phần mềm độc hại, Rogue antivirus hoặc phương pháp “thanh toán cho ứng dụng phần mềm miễn phí” mới được phát hiện.

Miễn phí để bán lừa đảo

Gần đây, chúng tôi đã quan sát thấy sự gia tăng của một kế hoạch thanh toán trực tiếp mới trong đó nạn nhân bị lừa thanh toán cho tải xuống phần mềm miễn phí. Đây là một cách tiếp cận rất hấp dẫn đối với tội phạm mạng. Tác giả không cần tốn thời gian và tiền bạc để tạo ra một ứng dụng phức tạp mà người dùng thực sự cần. Họ thậm chí không phải viết một chương trình giả mà trông giống như thật.

Sau khi ứng dụng được trả tiền và cài đặt, người dùng có thể không bao giờ nghi ngờ điều gì vì ứng dụng hoạt động như mong đợi. Ngay cả khi nạn nhân biết rằng họ đã trả tiền cho một thứ gì đó mà họ có thể nhận được miễn phí, kẻ lừa đảo không được kết nối với phần mềm và hầu như sẽ không thể theo dõi được.

Tác giả phần mềm độc hại có thể khởi chạy chương trình của mình với ba bước đơn giản. Đầu tiên, một phương thức thanh toán để sử dụng trong quá trình này được thiết lập. Điều này khác nhau, nhưng bao gồm thanh toán trực tuyến, chuyển khoản ngân hàng và dịch vụ SMS tính phí.

Thứ hai, họ tạo trình cài đặt tùy chỉnh “trả tiền để cài đặt” triển khai dịch vụ thanh toán đã đặt trước đó và kết thúc quá trình thiết lập phần mềm gốc hoặc tải xuống ứng dụng hợp pháp từ một vị trí tùy chỉnh khi thanh toán được thực hiện.

Thứ ba, họ “quảng bá” ứng dụng cho các nạn nhân tiềm năng. Điều này có thể đạt được thông qua các thủ thuật mũ đen tối ưu hóa công cụ tìm kiếm, các phương pháp được các tác giả phần mềm độc hại sử dụng rộng rãi, thông qua quảng cáo, thư rác và hơn thế nữa.

Phân tích ví dụ về cuộc sống thực

Chúng tôi đã gặp phải loại thủ thuật này trong số một số ứng dụng độc hại mà chúng tôi đã phân tích. Thông tin sau đây sẽ giúp người dùng hiểu mối đe dọa và đưa ra một số quy tắc cơ bản để tránh bị lừa theo cách này.

Khi thực thi, ứng dụng sẽ hiển thị thông báo chào mừng và cho biết đây là trình cài đặt cho “Mozilla Firefox 26.0”, trình duyệt web nổi tiếng, hợp pháp và miễn phí.

Bước tiếp theo của quá trình cài đặt đưa người dùng đến màn hình cho biết rằng để ứng dụng được cài đặt, người dùng phải thanh toán qua một tin nhắn SMS phụ phí đến số 81126. Nó hứa với người dùng rằng một mã cài đặt sẽ được gửi đến. và quá trình này có thể tiếp tục. Nếu mã không được viết trong hộp chỉnh sửa, quá trình cài đặt sẽ không tiếp tục.

Việc giải nén tệp cấu hình từ trình cài đặt tiết lộ một số chi tiết thú vị và đáng báo động hơn về các bước mà nó đang thực hiện cũng như các mã được sử dụng trong quy trình.

Hãy xem xét một tình huống trong đó người dùng gửi tin nhắn SMS để lấy mã cài đặt.

Khi mã này được ghi vào hộp chỉnh sửa, nó sẽ được xác minh so với mã trong cấu hình và một hộp thông báo sẽ hiển thị, cho biết rằng “Mã đầu tiên hợp lệ.

Trong bước tiếp theo, nhập mã thứ hai trong ba mã bắt buộc. Gửi tin nhắn SMS với nội dung X10 đến 81126 và bạn sẽ nhận được tin nhắn có mã cài đặt của mình ”.

Kết luận, đó không phải là một mà là ba tin nhắn văn bản phụ phí cần được gửi để lấy “mã cài đặt”. Đầu tiên:

Sau đó, "mã" thứ hai:

Sau mỗi lần nhập mã, một báo cáo được gửi qua lệnh gọi http để ghi lại việc sử dụng mã hợp lệ. Miền được sử dụng cho việc này là vox-telecom.com. Trang web được liên kết với tên miền này không có bất kỳ thông tin liên hệ, chi tiết công ty hoặc ai đứng sau nó.

Nó có tất cả các manh mối cho thấy nó được thiết lập nhằm mang lại cho người dùng sự tin tưởng bằng cách sử dụng tên của một công ty đã biết từ kinh doanh viễn thông khu vực.

Sau khi người dùng nhập mã thứ ba, trình cài đặt sẽ tiến hành tải xuống trình cài đặt ứng dụng hợp pháp từ softwareapp-pro.s3.amazonaws.com/ uploads / program_file / file_url / 167 / a680381d-79b3-4aa1-b0b0-8d748a09a486 / Firefox% 20Setup% 2026.0.exe và chạy nó.

Như đã thấy trong ảnh chụp nhanh, chữ ký điện tử xác nhận thực sự rằng ứng dụng đã tải xuống là hợp lệ và có thể được cài đặt an toàn.
Sau khi thiết lập xong, trình cài đặt ban đầu tồn tại, để lại cho người dùng một ứng dụng mới được cài đặt, trên thực tế là phần mềm miễn phí, nhưng anh ta đã trả tiền cho nó.

Kết luận

Để tránh những trường hợp như vậy, người dùng luôn nên tải ứng dụng từ trang web của nhà cung cấp hoặc trang tải xuống uy tín như download.com. Cẩn thận với các liên kết được quảng bá qua email, quảng cáo hoặc cửa sổ bật lên của trang web.

Ngoài ra, hãy kiểm tra xem ứng dụng bạn cần có phần mềm miễn phí hoặc thực sự bạn cần phải trả tiền cho nó. Nhiều ứng dụng trả phí có phiên bản dùng thử có thể được kiểm tra trước khi mua chúng, với các phương thức thanh toán được mô tả trong tài liệu hướng dẫn.

Quan trọng là, hãy cẩn thận với các ứng dụng phần mềm yêu cầu thanh toán qua điện thoại hoặc số phụ phí SMS khi cài đặt.

Nhưng trên hết, cách tốt nhất để được bảo vệ khỏi phần mềm độc hại đó là cài đặt antivirus trên hệ thống của bạn.

Chi tiết mẫu:
SHA1: 95606b25cb0f39e27e9cdb30cb4647e2baf4d7fe
MD5: 255f8ec6eccdb85806cb4a9cad136439
Comodo Internet Security phát hiện: TrojWare.Win32.ArchSMS.AB

BẮT ĐẦU DÙNG THỬ MIỄN PHÍ NHẬN MIỄN PHÍ SCORECARD NGAY LẬP TỨC