Od kilku tygodni cyberprzestępcy prowadzą kampanię o światowym zasięgu, której celem jest wyłudzenie pieniędzy od użytkowników Internetu oraz włączenie ich komputerów do bonetu. Przestępcy wykorzystują do tego fałszywe oprogramowanie antyszpiegowskie. Laboratoria G DATA Security Labs monitorują to zjawisko i ostrzegają użytkowników przed instalowaniem takich programów w swoich komputerach.
Laboratoria G DATA Security Labs odnotowały prawdziwą eksplozję spamu, oferującego darmowe programy antyszpiegowskie. Wielu użytkowników korzysta z „okazji”, instalując oprogramowanie w systemie.
Antywirus „z wkładką”
Atak zawsze przebiega według następującego schematu: za każdym razem, gdy internauta odwiedza stronę kontrolowaną przez przestępcę, widzi komunikat z zainstalowanego uprzednio programu o tym, że jego system jest zainfekowany. W rzeczywistości komputer jest zainfekowany od momentu zainstalowania w komputerze fałszywego oprogramowania antyszpiegowskigo.
Następnie oprogramowanie przeprowadza „kompletne skanowanie systemu” , co zwykle kończy się wykryciem licznych „infekcji”. Program znajduje szkodliwe programy, ponieważ… sam wcześniej tworzy na dysku pliki, które oznacza jako wirusy. Dzięki temu fałszywy program ochronny znajduje zagrożenia nawet w czystych systemach.
Po wykryciu zagrożenia program proponuje rejestrację lub zakup pełnej wersji, która umożliwia usunięcie „zagrożeń”. Zakupu można dokonać na profesjonalnie przygotowanej stronie internetowej. W rzeczywistości „kupując” program, użytkownik przekazuje przestępcom szczegóły swojej karty kredytowej.
Dotychczas zidentyfikowano ponad 1000 różnych odmian konia trojańskiego Trojan-Downloader.FraudLoad, który instalowany jest w systemie wraz z fałszywym programem zabezpieczającym. Jego działanie polega na ściąganiu do systemu innych wirusów oraz włączeniu komputera do sieci bonetu, umożliwiającej przestępcom wysyłanie z komputera użytkownika spamu oraz przeprowadzanie ataków na inne systemy.
Przestępcy rejestrują wiele domen internetowych pod profesjonalnie brzmiącymi nazwami, na których sprzedawane są ich „programy antywirusowe”. Używają przy tym różnych – podobnych – pisowni, dzięki czemu w przypadku zamknięcia strony przez władze po prostu zastępują domenę inną, podobnie brzmiącą – w ten sposób gra toczy się w zasadzie bez końca. Proceder ten może wskazywać także na to, iż w proceder mogą być zamieszane firmy dostarczające Internet oraz rejestrujące domeny.
Ralf Benzmüller, menadżer G DATA Security Labs:
“Cyberprzestępcy inwestują dużo czasu i energii w najbardziej obiecujące przedsięwzięcia. Obserwowana obecnie kampania jest nastawiona na osiągnięcie maksymalnego zysku – pomysły, które nie przynoszą efektu są natychmiast porzucane. Gwałtowny jej rozwój wskazuje na to, że idea fałszywych programów ochronnych dobrze sprawdza się w praktyce – ofiarami są najczęściej użytkownicy, którzy z jednej strony mają świadomość zagrożeń, jakie czyhają w Internecie, a z drugiej – chcą zaoszczędzić na profesjonalnych rozwiązaniach. Żerując na tej dość powszechnej motywacji cyberprzestępcy skutecznie atakują niezabezpieczonych użytkowników.”
Cztery porady od ekspertów G DATA
1. Aktualizuj programy ochronne do komputera. Przedawnione wersje próbne programów antywirusowych nie chronią komputera przed tego typu atakami
2. Korzystaj z filtrów http, które są zintegrowane w pakietach ochronnych. Zabezpieczają one przed infekcjami bezpośrednio ze strony internetowej. Nigdy nie wyłączaj tych modułów
3. Aktualizuj system operacyjny i przeglądarkę
4. Zalecamy zablokowanie w przeglądarce uruchamiania skryptów Java, Active-X i innych aktywnych komponentów, często wykorzystywanych do ataków ze strony internetowej.