Σάββατο, 18 Νοέμβριος 2017, 4:32 πμ

Ψεύτικος online σαρωτής malware με λογότυπα της Avast

Για ένα ψεύτικο online σαρωτή, που αναζητά και “εξολοθρεύει” κακόβουλο λογισμικό, μας ενημερώνει η Malwarebytes. Κάνοντας χρήση του ονόματος και του λογοτύπου της γνωστής εταιρείας Avast, το κακόβουλο λογισμικό υπόσχεται να αφαιρέσει από τον υπολογιστή μας επικίνδυνο λογισμικό που εντοπίστηκε, κάτι που φυσικά δεν είναι αλήθεια.

Για ένα ψεύτικο online σαρωτή, που αναζητά και “εξολοθρεύει” κακόβουλο λογισμικό, μας ενημερώνει η Malwarebytes. Κάνοντας χρήση του ονόματος και του λογοτύπου της γνωστής εταιρείας Avast, το κακόβουλο λογισμικό υπόσχεται να αφαιρέσει από τον υπολογιστή μας επικίνδυνο λογισμικό που εντοπίστηκε, κάτι που φυσικά δεν είναι αλήθεια.

Αρχικά ο χρήστης βλέπει, σε μια σελίδα που έχει επισκεφθεί, ένα διαφημιστικό μήνυμα με πορνογραφικό περιεχόμενο. Ένα μικρό – έστω – ποσοστό επισκεπτών κάνοντας κλικ στη διαφήμιση, ανακατευθύνεται σε έναν ιστότοπο όπου “φιλοξενείται” ο online σαρωτής κακόβουλου λογισμικού. Στο παράθυρο μπροστά του ο χρήστης βλέπει την ένδειξη “analyzing” να αναβοσβήνει, κι από κάτω μια σειρά από logo γνωστών εταιρειών antivirus που επίσης “αναλύουν” δεδομένα. Στη γραμμή διεύθυνσης διαβάζουμε “avast(dot)services”.

Ο ψεύτικος σαρωτής θα εμφανίσει στο τέλος ένα μήνυμα όπου η μόνη λύση να απαλλαχθεί κάποιος από τα προβληματικά αρχεία του υπολογιστή του είναι... η εγκατάσταση του λογισμικού avast! Του ψεύτικου βέβαια avast, αφού όλα είναι λίγο έως πολύ αναμενόμενα: στο πάνω αριστερό μέρος της σελίδας βλέπουμε το logo της avast και στη γραμμή διεύθυνσης το όνομα της εταιρείας. Άρα, σε τι χρησιμεύουν οι σαρωτές και τα logo των υπόλοιπων γνωστών εταιρειών; Σε τίποτα προφανώς. Απλά οι κυβερνοεγκληματίες προσπαθούν να μας πείσουν για την αλήθεια των πραγμάτων.

Ο ψεύτικος σαρωτής θα εμφανίσει στο τέλος ένα μήνυμα όπου η μόνη λύση να απαλλαχθεί κάποιος από τα προβληματικά αρχεία του υπολογιστή του είναι… η εγκατάσταση του λογισμικού avast! Του ψεύτικου βέβαια avast, αφού όλα είναι λίγο έως πολύ αναμενόμενα: στο πάνω αριστερό μέρος της σελίδας βλέπουμε το logo της avast και στη γραμμή διεύθυνσης το όνομα της εταιρείας. Άρα, σε τι χρησιμεύουν οι σαρωτές και τα logo των υπόλοιπων γνωστών εταιρειών; Σε τίποτα προφανώς. Απλά οι κυβερνοεγκληματίες προσπαθούν να μας πείσουν για την αλήθεια των πραγμάτων.

Καλείται, έπειτα, ο χρήστης να “εγκαταστήσει” ή να “αποθηκεύσει” στον υπολογιστή του το αρχείο Avast .exe, που – όπως φαντάζεστε – δεν έχει καμία απολύτως σχέση με το νόμιμο λογισμικό της γνωστής εταιρείας.

Καλείται, έπειτα, ο χρήστης να “εγκαταστήσει” ή να “αποθηκεύσει” στον υπολογιστή του το αρχείο Avast.exe, που – όπως φαντάζεστε – δεν έχει καμία απολύτως σχέση με το νόμιμο λογισμικό της γνωστής εταιρείας.

Πρακτικά, το κακόβουλο λογισμικό εγκαθίστανται σε διάφορες θέσεις του συστήματος  και ενεργοποιείται από δυο τοποθεσίες (two startup locations).

Στην πρώτη, μια ένδειξη “Εκτέλεση”, που παροτρύνει το χρήστη να τρέξει ένα αρχείο στο φάκελο “System Restore” (Αποκατάσταση συστήματος).

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"SYSTEM RESTORE"="REG_SZ", "C:\Users\{user name}\AppData\Local\Temp\SYSTEM RESTORE\rundll32.exe"

Στη δεύτερη, πρόκειται για μια προγραμματισμένη εργασία (Scheduled Task), όπως η ακόλουθη:

Task: {E8F70B70-DDBF-4059-BEA2-09ADAE1A9061} - System32\Tasks\Update\Windows System32 => C:\Users\{user name}\AppData\Local\Temp\vbc.exe

Τα αρχεία προς τα οποία κατευθύνουν τα δύο startup points είναι αντίγραφα του Avast .exe, που αναφέρθηκε νωρίτερα.

Τα αρχεία προς τα οποία κατευθύνουν τα δύο startup points είναι αντίγραφα του Avast.exe, που αναφέρθηκε νωρίτερα.

Αυτός ο τύπος του Trojan μπορεί να χρησιμοποιηθεί για τη συλλογή πληροφοριών από τον υπολογιστή του θύματος και την κρυπτογράφησή τους. Η κρυπτογραφημένη πληροφορία αποστέλλεται στο δημιουργό του malware, ο οποίος μπορεί να προσδιορίσει ποια κομμάτια της πληροφορίας έχουν αξία. Στην περίπτωση αυτή, τα κρυπτογραφημένα δεδομένα έχουν αποθηκευτεί στο αρχείο:

C:\Users\{user name}\AppData\Roaming\Imminent\Logs\{date}

malwarebytes avast 1

malwarebytes avast 2

Τα επίμαχα αρχεία φέρουν τις ονομασίες Trojan.InfoStealer.Generic και Stolen.Data

Για ένα ψεύτικο online σαρωτή, που αναζητά και “εξολοθρεύει” κακόβουλο λογισμικό, μας ενημερώνει η Malwarebytes. Κάνοντας χρήση του ονόματος και του λογοτύπου της γνωστής εταιρείας Avast, το κακόβουλο λογισμικό υπόσχεται να αφαιρέσει από τον υπολογιστή μας επικίνδυνο λογισμικό που εντοπίστηκε, κάτι που φυσικά δεν είναι αλήθεια. Αρχικά ο χρήστης βλέπει,…
Χρήσιμο
Ευανάγνωστο

User Rating: Be the first one !
89

Δείτε επίσης:

Τουλάχιστον 20 εκατομμύρια βρετανικές λίρες κατάφεραν να κλέψουν hackers από τραπεζικούς λογαριασμούς του Ηνωμένου Βασιλείου, ενώ η Εθνική Υπηρεσία Δίωξης Εγκλήματος (NCA) αναζητά τα ίχνη τους.

Dridex Trojan: 20 εκατομμύρια βρετανικές λίρες έκαναν «φτερά»

Τουλάχιστον 20 εκατομμύρια βρετανικές λίρες κατάφεραν να κλέψουν hackers από τραπεζικούς λογαριασμούς του Ηνωμένου Βασιλείου, …