Nova scareware kampanja: video kodek i lažni antivirus

Vesti, 27.07.2011, 11:47 AM

Kriminalne grupe koje stoje iza distribucije scareware softvera skoro oduvek koriste iste metode. Njihov scenario je predvidljv - kompromitovanje veb sajtova koji se potom koriste kao odskočna daska za plasiranje malicioznih programa čiji su oni kreatori. Taktika koju koriste je zastrašivanje internet korisnika koje treba ubediti da su njihovi računari zaraženi i da je nužno da preuzmu zaštitni antivirusni softver koji je naravno lažan.

Međutim, ovoga trenutka na internetu postoji bar nekoliko scareware bandi koje koriste mnogo suptillnije metode od opisane. One čekaju u zasedi žrtvu koja će želeti da pogleda neki video sadržaj i tada napadaju.

Distribucija većine scareware programa oslanja se na pop-up prozore koji se pojavljuju kada potencijalne žrtve posete sajt koji je prethodno kompromitovan. Posetilac sajta tada vidi prozor koji obično izgleda kao onaj koji dolazi od Windows-ovog centra za bezbednost a korisnik se tada obaveštava da mu je računar zaražen brojnim malicioznim programima. Čak i da je to tačno, to sasvim sigurno nije nešto što mogu da detektuju scareware programi. Ali ovde je cilj da žrtva klikne na prozor sa obaveštenjem o infekciji i i instalira neki od lažnih antivirusnih programa koje određena kriminalna grupa pokušava da proda.

Istraživači kompanije GFI Lab otkrili su novu vrstu lažnog antivirusnog softvera koja nešto diskretnje pokušava da iznudi novac od žrtve. Kampanja distribucije ovog lažnog softvera koja je povezana sa grupom scareware programa FakeVimes na koju je Gogle nedavno počeo da upozorava korisnike, instalira neke fajlove na korisnikovom računaru, ali ne zahteva odmah po instalaciji plaćanje programa u zamenu za fiktivnu uslugu zaštite koju navodno lažni softver može da obezbedi korisniku. Umesto toga, žrtva se čeka da pokrene neki online video i tek potom se stupa u akciju.

Dakle, reč je o kombinaciji prevarantskih šema sa kojima se svaki internet korisnik susretao do sad.

Najpre se korisnik obaveštava da mu je računar zaražen, ali kao što se može videti na slici ispod nema uoobičajeno prisutnog dugmeta “Click here to buy” ili nekog sličnog, kojim se korisniku nudi da plati licencu za lažni softver kako bi mogao da ukloni infekciju sa računara.

Sigurno je da bi iskusniji korisnik računara prepoznao prevaru odmah, ali oni sa skromnijim znanjem o računarima bi možda ipak mogli postati žrtve. Klikom na “Remove all” takvi korisnici će instalirati na svojim računarima niz malicioznih programa. Naivni korisnik još uvek neće primetiti da je reč o prevari. A “najbolji” deo tek sledi.

Scareware pokazuje poruku o grešci sa obaveštenjem korisniku da je verzija kodeka koju on ima instaliranu na računaru zastarela i da ne može da pogleda video. Slične poruke se pojavljuju i ukoliko žrtva pokuša da preuzme video i pusti ga sa računara.

Na kraju, žrtva se upućuje na “Video Codec Suite” čija je cena 35,95 dolara.

Uvek imajte na umu sledeće: ukoliko pokušavate da pogledate neki video, i od vas se pri tom zatraži instalacija novog kodeka - ne preuzimajte ga. Zdrav razum treba da vam kaže da ukoliko veb sajt ne prepoznaje standardne kodeke nešto nije u redu. Zapitajte se zašto bi veb sajt kome je potreban što veći broj posetilaca odbijao bilo kog zahtevom da preuzme određeni kodek da bi video sadržaj na sajtu.

Standardni plejeri omogućavaju pregled svakog video sadržaja. Ukoliko oni to ne mogu iz nekog razloga, odustanite.

Preporuka stručnjaka je da obezbedite na svom računaru kodeke koje možete naći besplatno na internetu. Kada to uradite, možete biti sigurni da je svaki zahtev za preuzimanjem i instalacijom nekih dodatnih kodeka navodno neophodnih za pristup sadržajima na određenim sajtovima sumnjiv. Neki od proverenih kodeka su Windows Essentials Codec Pack, The K-Lite Codec Pack i Media Player Codec Pack.

Čak i stare taktike i predvidljive metode su još uvek prilično profitabilne. Cena organizacije kampanje je mala, prihod je veliki tako da je razumljivo zbog čega su ovakve prevare još uvek tako česte.