Лжеантивирусы стали имитировать интерфейсы четырех популярных браузеров

Лжеантивирусы стали имитировать интерфейсы четырех популярных браузеров

В прежние времена программное обеспечение такого рода довольствовалось тем, что изображало предупреждения Internet Explorer и делало вид, что запускает проверку диска в Проводнике Windows. В альтернативных обозревателях это смотрелось несколько забавно и не имело должного эффекта; осознав проблему, злоумышленники внесли кое-какие коррективы.

Теперь внешний вид онлайн-"антивируса" зависит от того, каким браузером пользуется посетитель нежелательного ресурса. Новое веяние обнаружил исследователь из компании Zscaler Жюльен Собрие; выявленное им ложное защитное программное обеспечение умеет различать IE, Firefox, Chrome и Safari. Пользователи продукта от Microsoft ничего нового не увидят - им покажут все то же "предупреждение" в стиле Windows 7, - но вот что отобразится, к примеру, в обозревателе от Mozilla:

Всякий, кто знаком с работой внутреннего фильтра Firefox, без труда опознает в этом изображении классические элементы оформления, которые характерны для выдаваемых этим браузером уведомлений об опасности. Соответственно, неискушенному пользователю, для которого графика важнее текста, будет легко поверить в истинность этого "информационного окна".

Если же посетитель работает через Google Chrome, то сначала он увидит небольшое диалоговое окно с текстом "Система безопасности Chrome обнаружила критическую активность процессов в вашей системе и осуществит быстрое сканирование системных файлов", а затем ему будет продемонстрирована следующая страница "сканирования":

Что касается Safari, то здесь злоумышленники немного недоработали: первичное предупреждение тоже особенное и даже имеет логотип обозревателя, но последующее окно лжеантивирусного исследования такое же, как и в случае Internet Explorer.

Со страницы "сканера" загружается исполняемый файл с именем вида InstallInternetDefender_xxx.exe (xxx - три произвольные цифры). Проверка этого образца настоящими антивирусами не дала заметного результата: было получено лишь несколько эвристических вердиктов от не самых известных защитных решений.

Подводя итог, остается лишь заключить, что отказ от использования Internet Explorer постепенно перестает быть основным средством защиты от онлайн-угроз: альтернативные обозреватели становятся популярны, а, следовательно, возрастает и интерес к ним со стороны вирусописателей и прочих киберпреступников.

Zscaler Research blog

Ищете бензин — отдаете аккаунт: мошенники запустили фейковые карты АЗС

Киберпреступники решили заработать на очередях за топливом. Специалисты «Эфшесть/F6» обнаружили более 60 фишинговых сайтов, которые маскируются под карты АЗС, игровые сервисы, маркетплейсы и видеохостинги. Схема у всех одна. Пользователю обещают показать, где есть бензин, выдать электронный талон на заправку или подарить бонусы в игре.

Для этого просят указать номер телефона, а затем ввести код из СМС. После этого мошенники получают доступ к аккаунту в мессенджере. Фейковые карты АЗС выглядят вполне убедительно.

 

На сайте предлагают выбрать вид топлива и регион, затем якобы находят несколько заправок. Но сам список не показывают. Вместо него появляется форма «подтверждения номера». В другом варианте преступники копируют оформление настоящего сервиса и требуют авторизацию ради несуществующего электронного талона.

 

Получив код, злоумышленники могут читать переписку, скачивать фото, видео и документы, просматривать контакты и рассылать сообщения от имени жертвы. Иногда владелец даже не сразу замечает взлом: доступ к аккаунту у него сохраняется, пока мошенники тихо хозяйничают внутри.

Та же сеть атакует и детей. Под видом Brawl Stars пользователям предлагают бесплатные ящики и игровую валюту после входа через мессенджер.

 

Более половины найденных сайтов прикрываются брендами маркетплейсов, еще 19% — социальными платформами. Остальные маскируются под карты АЗС, игры, видеосервисы и доски объявлений.

Чаще всего фишинговые страницы размещают в доменных зонах .site, .click, .shop, .lol и .xyz. «Эфшесть/F6» уже направила их на блокировку, но новые адреса продолжают появляться.

RSS: Новости на портале Anti-Malware.ru