Пользователи Firefox могут стать жертвой новой мошеннической схемы

Пользователи открытого веб-браузера Firefox столкнулись с новой мошеннической схемой, имеющей своей целью загрузку на ПК пользователей поддельного антивирусного программного обеспечения со страницы, имитирующей сервер Windows Update.



 В компании Sophos, сообщающей о новом случае мошенничества, говорят о стремительном росте объемов так называемых псевдо-антивирусов и новый случай мошенничества - это как раз один из таких случаев. Особенность нового случая заключается в том, что он ориентирован именно на пользователей Firefox и через сеть страниц-редиректоров приводит попавшегося на удочку пользователя к поддельной странице Windows Update, передает cybersecurity

На данной странице пользователям предлагается "срочно скачать" 2,8-мегабайтный пакет, который в реальности является поддельным антивирусом. Очевидно, что при загрузке данного пакета, он обнаруживал в системе некое несуществующее вредоносное ПО и предлагал его удалить, хотя в реальности все выглядит совершенно иначе - пакет начинает размещать на ПК образцы вредоносного ПО.

"Сейчас пользователи должны быть бдительнее, чем когда-либо. Псевдо-антивирусы - это большой бизнес для киберпреступников и они готовы тратить много времени и усилий, чтобы создать у пользователей полную иллюзию легитимности посещаемых страниц и загружаемого ПО", - говорит старший технический консультант Sophos Грэм Клули.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

В масштабной вредоносной рассылке используются DNS-серверы Godaddy

Исследователь в области безопасности сообщил о масштабной злонамеренной рассылке вредоносных писем, которую он наблюдал на протяжении последних двух дней. Специалист отмечает сотни, если не тысячи легитимных доменов, которые вовлечены во вредоносную рассылку.

По словам исследователя, письма приходят от серверов и хостеров, расположенных либо в России, либо в Украине, либо в Индии. Некоторые из фигурирующих доменов были зарегистрированы более 10 лет назад.

«Единственная общая черта, которую мне удалось обнаружить между всеми этими доменами, — они используют DNS-серверы Godaddy — “Domaincontrol.com“. <…> Я считаю, что name-серверы Godaddy были скомпрометированы, чтобы придать вредоносным письмам легитимный вид», — пишет специалист.

Эксперт приводит следующий диапазон IP и серверов, вовлеченных в кампанию:

  • 103.242.116.*   AS133296 Web Werks India Pvt. Ltd.
  • 103.242.117.*   AS133296 Web Werks India Pvt. Ltd.
  • 193.233.30.*   mgnhost.ru AS202423 PE Viktor Tyurin.
  • 109.106.2.*   AS48352 IP Starcev Eugenii Borisovich

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

RSS: Новости на портале Anti-Malware.ru