Хакер #305. Многошаговые SQL-инъекции
Эксперты «Лаборатории Касперского» сообщают, что злоумышленники все чаще имитируют проблемы с Windows и обманом вынуждают русскоязычных пользователей перезвонить им. Затем, во время телефонного разговора, они убеждают жертв перевести деньги или выдать конфиденциальные данные.
Исследователи пишут, что в сентябре зафиксировали более 40 500 попыток перехода российских пользователей на фишинговые ресурсы, эксплуатирующие тему продуктов Microsoft. Так, на одних сайтах пользователям предлагали скачать операционную систему Windows 10 или Windows 11. На других злоумышленники пытались выманить данные для входа в учетную запись (адрес электронной почты и пароль) в сервисах Microsoft, в том числе Outlook. Если человек вводил эти данные на фальшивом ресурсе, они доставались злоумышленникам.
При этом злоумышленники все чаще используют вишинг — голосовой фишинг, то есть пытаются побудить человека позвонить им по указанному номеру. Если жертва попадается на крючок и перезванивает, ее начинают «обрабатывать». Обычно мошенники пытаются выманить конфиденциальные данные, либо стремятся убедить перевести деньги на указанные реквизиты или установить потенциально опасное ПО.
Одну из мошеннических схем специалисты описывают так: человек заходит на сомнительный ресурс или его перенаправляют туда из спам-письма. После этого на экране появлялся баннер с сообщением: «Windows заблокирован из-за подозрительной активности». Якобы на устройстве пользователя обнаружена угроза — шпионский троян.
В том же сообщении человека просят немедленно связаться с технической поддержкой по указанному на сайте телефону, чтобы избежать «полной неисправности компьютера». На самом деле злоумышленники просто показывают жертве баннер в полноэкранном режиме. Так они пытаются убедить человека, что у него действительно заблокирован компьютер.
Интересно, что согласно свежему отчету компании Trellix, подобное мошенничество активно эволюционирует, и в ходе подобных вишиговых атак машины жертв часто заражают загрузчиком, который распространяет дополнительные полезные нагрузки, включая трояны удаленного доступа, шпионское ПО и программы-вымогатели.
Эксперты Trellix рассказывают о еще одной популярной у мошенников тактике, когда жертву не пугают страшными баннерами, но присылают ей письма, сообщающие о дорогих подписках, которых пользователь никогда не оформлял. В письме содержится номер телефона, по которому получатель может узнать больше об этой «подписке» и отменить ее.
Такие фейковые счета подделываются под Geek Squad, Norton, McAfee, PayPal или Microsoft. При этом, когда жертва звонит мошенникам, ей сообщают, что полученное электронное письмо было спамерским. Затем фейковый сотрудник поддержки предупреждает жертву о том, что спам мог привести к заражению компьютера вредоносным ПО, и переадресует пользователя на «технического специалиста».
После этого жертве перезванивает уже другой мошенник, якобы чтобы помочь справиться с заражением. Он направляет пользователя на сайт, где тот загружает малварь, маскирующуюся под антивирусное ПО.
Чаще всего в таких случаях на машину пользователя проникает BazarLoader, трояны удаленного доступа, маяки Cobalt Strike или другие инструменты для удаленного доступа, в зависимости от того, кто стоит за конкретной вредоносной кампанией.