Μια νέα καμπάνια έχει εμφανιστεί, η οποία χρησιμοποιεί το γνώριμο λογότυπο της Microsoft για να παραπλανήσει ανυποψίαστους χρήστες σε μια εξελιγμένη απάτη τεχνικής υποστήριξης.
Το δόλωμα: ένα υποτιθέμενο email ασφαλείας
Τα θύματα λαμβάνουν ένα φαινομενικά νόμιμο email, με το επίσημο λογότυπο της Microsoft, το οποίο ισχυρίζεται ότι υπάρχει μια σημαντική οικονομική συναλλαγή ή ειδοποίηση ασφαλείας που απαιτεί άμεση προσοχή.
Το μήνυμα καλεί τον παραλήπτη να κάνει κλικ σε έναν σύνδεσμο, δήθεν για να επιβεβαιώσει την ταυτότητά του ή να επιλύσει κάποιο επείγον πρόβλημα.
Σύμφωνα με αναλυτές της Cofense, οι κυβερνοεγκληματίες έχουν βελτιώσει τις τεχνικές κοινωνικής μηχανικής, συνδυάζοντας οικονομικά δολώματα με παραπλανητικά UI overlays για μέγιστη αποτελεσματικότητα.
Η ψεύτικη επαλήθευση
Όταν ο χρήστης κάνει κλικ στον σύνδεσμο, ανακατευθύνεται σε μια ψεύτικη σελίδα CAPTCHA, σχεδιασμένη ώστε να μοιάζει με αξιόπιστη διαδικασία επαλήθευσης.
Μετά την ολοκλήρωση της «επαλήθευσης», μεταφέρεται σε μια σελίδα όπου το πρόγραμμα περιήγησης φαίνεται να έχει «κλειδώσει», γεμάτος με αναδυόμενα παράθυρα που μιμούνται αυθεντικές ειδοποιήσεις ασφαλείας της Microsoft.
Η ψευδαίσθηση πανικού
Ο στόχος των επιτιθέμενων είναι να δημιουργήσουν αίσθηση πανικού, πείθοντας το θύμα ότι το σύστημά του έχει μολυνθεί και δε λειτουργεί φυσιολογικά.
Στις περισσότερες περιπτώσεις, η απάτη κορυφώνεται με την εμφάνιση ενός τηλεφωνικού αριθμού υποστήριξης, που υποτίθεται ότι ανήκει στη Microsoft.
Όταν το θύμα καλέσει, συνδέεται με έναν απατεώνα που προσποιείται τον τεχνικό υποστήριξης.
Υπό το πρόσχημα της «επιδιόρθωσης της μόλυνσης», ο απατεώνας πείθει το θύμα να αποκαλύψει τα στοιχεία σύνδεσης του λογαριασμού Microsoft ή να εγκαταστήσει ένα εργαλείο απομακρυσμένης πρόσβασης, δίνοντάς του έτσι πλήρη έλεγχο του συστήματος.
Μηχανισμός μόλυνσης
Η μόλυνση ξεκινά με τη χρήση μιας λίστας URL ανακατεύθυνσης που φιλοξενούν τα επιβλαβή αρχεία. Οι αρχικοί τομείς ανακατεύθυνσης περιλαμβάνουν:
- hxxps://alphadogprinting.com/index.php?8jl9lz
- hxxps://amormc.com/index.php?ndv5f1
Οι διευθύνσεις αυτές οδηγούν τα θύματα μέσω της σελίδας CAPTCHA πριν φτάσουν στον κακόβουλο εξυπηρετητή. Οι τομείς μεταφοράς κακόβουλου κώδικα, όπως:
- hxxps://my.toruftuiov.com/9397b37a-50c4-48c0-899d-f5e87a24088d
- hxxps://deprivy.stified.sbs/proc.php
φιλοξενούν τα σενάρια που χειραγωγούν το DOM του προγράμματος περιήγησης, απενεργοποιούν τον έλεγχο του ποντικιού και εμφανίζουν ψεύτικες ειδοποιήσεις ασφαλείας.
Η «κλειδωμένη» κατάσταση του προγράμματος περιήγησης είναι καθαρά ψευδαίσθηση και μπορεί να παρακαμφθεί πατώντας το πλήκτρο ESC – κάτι που λίγα θύματα ανακαλύπτουν πριν καλέσουν τον απατεώνα.
Η εξέλιξη της απάτης
Συνδυάζοντας αξιόπιστα λογότυπα, πολλαπλά στάδια ανακατεύθυνσης και παραπλανητικά γραφικά περιβάλλοντα, η συγκεκριμένη καμπάνια αποτελεί παράδειγμα της συνεχώς εξελισσόμενης απειλής που εκμεταλλεύεται την εμπιστοσύνη προς γνωστά brands για να αποσπά διαπιστευτήρια χρηστών.
