Мошенники запугивают пользователей мнимыми угрозами и заставляют покупать поддельные антивирусы

Мошенники зарабатывают на поддельных антивирусах

...

Корпорация Symantec обнародовала результаты проведенного ею исследования проблемы фальшивых антивирусов («Report on Rogue Security Software»). Данные, полученные за 12-месячный период — с июля 2008 г. по июнь 2009 г. — показывают, что злоумышленники все чаще стали применять тактику запугивания, используя поддельные оповещения системы безопасности (Rogue Security Software). Вредоносные программы этого типа, известные также под названием «scareware», отображают ложные предупреждения о заражении вирусом в надежде испугать пользователя и вынудить его скачать поддельный антивирус. Как минимум, поддельные антивирусы бесполезны, а как максимум, могут установить на компьютер вредоносный код или снизить общий уровень безопасности системы.

Чтобы вынудить ничего не подозревающих людей загрузить фальшивые программы, мошенники размещают на веб-сайтах рекламу, играющую на страхе пользователя перед компьютерными угрозами. Как правило, тексты таких реклам гласят: «Если вы видите эту надпись, значит ваш компьютер подвергается угрозе заражения вирусом». Далее пользователю предлагается перейти по ссылке, чтобы проверить компьютер или загрузить программу для удаления «вируса». Согласно исследованию, 93 процента установленных фальшивых антивирусов пятидесяти самых распространенных наименований были намеренно загружены самими пользователями под воздействием мошеннической рекламы. А всего, начиная с июня 2009 года, специалисты Symantec обнаружили 250 различных поддельных программ, якобы предназначенных для обеспечения безопасности.

Первоначальные финансовые потери тех, кто загружает фальшивые программы, колеблются от 30 до 100 долларов. Однако сопровождающая мошенническую операцию кража данных может привести к куда более значительным потерям. Злоумышленники могут не только обманом выманить деньги за бесполезные программы, но и похитить персональные данные пользователя, в том числе информацию о его кредитной карте, с тем, чтобы продать эти данные на черном рынке.

Но это еще не все. Некоторые поддельные программы устанавливают в системе вредоносный код, который делает машину уязвимой для других угроз. То есть вместо того, чтобы обеспечить заявленную защиту, эти «антивирусы» наоборот, снижают ее. Например, некоторые из этих программ настоятельно требуют от пользователя понизить действующий уровень безопасности, после чего регистрируют в системе поддельное программное обеспечение или блокируют доступ к веб-сайтам производителей настоящих антивирусов. Это, в свою очередь, открывает путь дальнейшим угрозам, от которых пользователя обещали защитить.

Недобросовестная реклама побуждает приобретать фальшивое антивирусное ПО

Существует много способов обманным путем побудить пользователей к загрузке поддельных антивирусов. В основном это тактика запугивания и методы социотехники. Фальшивые средства антивирусной защиты рекламируются различными способами, в том числе через вредоносные и даже легальные веб-сайты: блоги, форумы, социальные сети, сайты «только для взрослых». Многие легальные сайты, хотя и не имеют никакой связи с мошенниками, демонстрируют информацию об их программном обеспечении в качестве рекламы, тем самым компрометируя себя. Ссылки на Интернет-ресурсы, где предлагаются для загрузки поддельные антивирусы, могут (при определенных усилиях со стороны их распространителей) появляться среди наиболее релевантных результатов в поисковых системах. 

Чтобы исключить подозрение со стороны пользователей, разработчики фальшивых антивирусных средств стараются создавать заслуживающий доверие интерфейс своих программ. Часто они подстраивают его под внешний вид настоящих антивирусов. Поддельные средства защиты нередко распространяются через веб-сайты, которые внешне не вызывают никаких опасений. Некоторые мошеннические сайты содержат вполне реальные системы онлайн-оплаты кредитными карточками, а жертвам направляются электронные сообщения о поступлении платежа, в которых также содержится информация о серийном номере продукта и коде сервисного обслуживания.

Посредники получают бонусы за распространение фальшивых антивирусов

Киберпреступниками организована система оплаты по достигнутым результатам, поэтому агенты, которые предлагают поддельные средства антивирусной защиты, напрямую заинтересованы в обмане как можно большего числа людей. Согласно исследованию, десять наиболее успешных распространителей фальшивых антивирусов с сайта TrafficConverter.biz за 12 месяцев наблюдения за ними в среднем зарабатывали на ничего не подозревающих пользователях 23 тыс. долларов в неделю. Это почти втрое больше недельного заработка Президента США. 

Широко практикуется система оплаты распространителям «за клик». Деньги отчисляются за каждый переход пользователя с маркетинговой страницы партнера на сайт с фальшивым ПО. В рамках такой модели партнеры-распространители кладут в свой карман от 1 до 55 центов за каждую установку продукта пользователями. Наибольшая сумма переводится владельцу маркетинговой страницы, если обманутый пользователь находится в США, далее следуют Великобритания, Канада и Австралия. Некоторые хозяева сайтов с поддельным антивирусным ПО предлагают посредникам бонусы за определенное количество установок, VIP-баллы и такие призы, как электронные устройства и даже дорогие автомобили.  

Для защиты предприятий и простых пользователей от фальшивых антивирусов компания Symantec рекомендует использовать новейшие версии решений в области компьютерной безопасности, такие как Symantec Endpoint Protection или Norton Internet Security. Кроме того, крайне желательно следовать рекомендациям по защите и снижению рисков, которые приведены в приложении (Appendix A) к данному отчету. В частности, для защиты своих компьютеров пользователям рекомендуется покупать и устанавливать только проверенные программные продукты от производителей с хорошей репутацией. Такие продукты продаются в розничных и онлайновых магазинах. Вот некоторые основные рекомендации: 

  1. Старайтесь не переходить по ссылкам, которые содержатся в электронных письмах, т.к. они могут вести на мошеннические веб-сайты. Вместо этого вручную набирайте адреса известных, уважаемых веб-сайтов. 
  2. Никогда не просматривайте и не открывайте содержимое вложений к подозрительным электронным письмам. Относитесь с осторожностью ко всем электронным письмам, в которых вы не являетесь непосредственным адресатом. 
  3. Остерегайтесь всплывающих окон и рекламных баннеров, которые имитируют системные сообщения. Это первый признак того, что вас пытаются заманить на сайты с вредоносными программами.  

«По результатам нашего отчета о фальшивых антивирусах становится ясно, что киберпреступники обладают всем необходимым для настоящей охоты на пользователей Интернета, — говорит Стивен Триллинг (Stephen Trilling), старший вице-президент Symantec по технологиям безопасности и защиты. — Чтобы не стать жертвой этих хищных уловок, компания Symantec настоятельно рекомендует использовать новейшие версии программ для защиты данных».

«Несмотря на низкую стоимость фальшивых антивирусов, совокупный доход от их массового распространения может быть очень высоким, — говорит Дэвид Уолл (David Wall), кандидат наук, Исследовательский центр уголовного судопроизводства при Лидсском университете. — Такой вид мошенничества работает, поскольку фальшивые антивирусы заставляют пользователей поверить в то, что их компьютеры под угрозой и что данную проблему могут решить именно эти программы. Это чистой воды обман. Я рекомендую пользователям Интернета быть осторожными в сети и загружать файлы только из проверенных источников».

Факты

- Пятерка самых известных поддельных антивирусов: SpywareGuard 2008, AntiVirus 2008, AntiVirus 2009, SpywareSecure и XP AntiVirus.

- Посредники, размещающие ссылки на загрузку поддельных антивирусов на своих сайтах, получают с каждого клика различное вознаграждение, в зависимости от страны, где находится обманутый пользователь: около 55 центов — в США; 52 цента — в Великобритании и Канаде; 50 центов — в Австралии.

  • Далее с большим отрывом следуют европейские страны: посредникам платят всего 16 центов за обманутого пользователя из Испании, Ирландии, Франции или Италии.
  • Разница в оплате объясняется различной вероятностью того, что пользователи из той или иной страны действительно заплатят за приобретение фальшивого антивируса.

- 93 процента фальшивых антивирусов распространяются через специально созданные для этого веб-сайты; 52 процента из них продвигаются через Интернет-рекламу.

- Географически обманутые пользователи распределились следующим образом (по результатам отслеживания загрузок пятидесяти наиболее известных фальшивых антивирусов с июля 2008 г. по июнь 2009 г.): 61% — Северная Америка; 31% — регион EMEA (Европа, Ближний Восток и Африка); 6% — Азиатско-Тихооокеанский регион (включая Японию); 2% — Латинская Америка.

  • Высокие показатели в двух первых регионах, скорее всего, объясняются тем, что здесь высока активность вредоносного программного обеспечения вообще.
  • Первое место Северной Америки в этом списке, по-видимому, отражает тот факт, что посредники получают самое высокое вознаграждение за обманутых пользователей именно из этого региона.

Российский госсектор и промышленностью атакуют через обновления ViPNet

Эксперты Kaspersky GReAT обнаружили активную кибершпионскую кампанию HelloNet, нацеленную на крупные российские организации. Под удар попали предприятия госсектора, промышленности, энергетики, транспорта, логистики и образования. Главная неприятность — злоумышленники используют механизм обновлений ViPNet, популярного ПО для создания защищённых сетей.

Атака начинается не с подозрительного архива «Документы_срочно.zip», а маскируется под вполне легитимный корпоративный процесс.

Для заражения применяется техника сторонней загрузки DLL. Один из компонентов ViPNet запускается вместе с операционной системой и подхватывает вредоносную библиотеку. Дальше начинается полноценный набор для тихой жизни внутри чужой инфраструктуры.

В кампании задействованы сразу несколько ранее неизвестных инструментов. HelloInjector загружает дополнительные вредоносные модули, HelloProxy проксирует трафик и запускает новые нагрузки, HelloExecutor позволяет выполнять команды на заражённом компьютере. А HelloCleaner стирает журналы ViPNet, чтобы следов осталось поменьше.

На одной из систем исследователи также нашли HelloBackdoor — бэкдор для работы с файловой системой.

По техническим признакам специалисты с низкой уверенностью связывают кампанию с неизвестной китайскоговорящей группировкой. При этом атака всё ещё продолжается.

В «Лаборатории Касперского» напоминают, что ViPNet уже становился приманкой для атакующих: в 2025 году десятки российских организаций столкнулись с бэкдором, который тоже притворялся обновлением этого ПО.

Компаниям рекомендуют отдельно проверить рабочие станции с ViPNet и внимательно изучить сетевой трафик.

В «ИнфоТеКС» поделились своим комментарием. Приводим ниже.

Компания «ИнфоТеКС» сообщила о выявлении нового вектора целевой атаки, связанного с использованием транспортного протокола MFTP в ПК ViPNet Client 4.

Новый сценарий атаки обнаружен в эксплуатируемых сетях ViPNet на узлах с установленным ViPNet Administrator. Его реализация возможна при условии, что злоумышленники ранее скомпрометировали управляющий узел ViPNet Administrator в доверенной сети.

После этого с захваченного узла через межсетевое взаимодействие может быть отправлен специально сформированный конверт, имитирующий легитимное обновление программного обеспечения. Такой пакет способен содержать произвольную вредоносную нагрузку и использовать уязвимость, связанную с обработкой относительных путей.

Рассылка поддельного обновления через скомпрометированный управляющий узел может привести к нарушению целостности среды, повышению привилегий в системе и выполнению произвольного кода на атакуемом устройстве.

Для устранения уязвимости необходимо обновить программное обеспечение до следующих версий:

Если сеть связана с другими защищёнными сетями, администрирование которых находится вне зоны вашей ответственности и для которых невозможно гарантировать выполнение указанных требований, необходимо проверить собственные узлы на наличие признаков компрометации.

Для этого следует:

  • проверить систему на наличие файлов, указанных в подготовленных YARA-правилах;
  • выполнить проверку в соответствии с инструкцией по применению YARA-правил с использованием утилиты YARA;
  • проанализировать сетевую активность узлов ViPNet, включая обращения к координаторам и другим элементам инфраструктуры организации.

При обнаружении признаков заражения или подозрительной сетевой активности необходимо незамедлительно обратиться в службу технической поддержки «ИнфоТеКС».

RSS: Новости на портале Anti-Malware.ru