Fałszywe antywirusy kradną dane

Cyberprzestępcy prowadzą kampanię o światowym zasięgu, której celami są wyłudzenie pieniędzy od użytkowników Internetu oraz włączenie ich komputerów do botneta. Przestępcy wykorzystują do tego fałszywe oprogramowanie antyszpiegowskie. Laboratoria antywirusowe monitorują to zjawisko i ostrzegają użytkowników przed instalowaniem takich programów w swoich komputerach.


Użytkownicy i laboratoria odnotowały prawdziwą eksplozję spamu oferującego darmowe programy antyszpiegowskie. Wielu użytkowników korzysta z „okazji”, instalując oprogramowanie w systemie.

Atak zawsze przebiega według następującego schematu: za każdym razem, gdy internauta odwiedza stronę kontrolowaną przez przestępcę, widzi komunikat z zainstalowanego uprzednio programu o tym, że jego system jest zainfekowany. W rzeczywistości komputer jest zainfekowany od momentu zainstalowania w komputerze fałszywego oprogramowania antyszpiegowskigo.

Następnie oprogramowanie przeprowadza „kompletne skanowanie systemu”, co zwykle kończy się wykryciem licznych „infekcji”. Aplikacja znajduje szkodliwe programy, ponieważ… sam wcześniej tworzy na dysku pliki, które oznacza jako wirusy. Dzięki temu fałszywy program ochronny znajduje zagrożenia nawet w czystych systemach.

Po wykryciu zagrożenia narzędzie proponuje rejestrację lub zakup pełnej wersji, która umożliwia usunięcie „zagrożeń”. Zakupu można dokonać na profesjonalnie przygotowanej stronie internetowej. W rzeczywistości, „kupując” program, użytkownik przekazuje przestępcom szczegóły swojej karty kredytowej.

Dotychczas zidentyfikowano tysiące odmian konia trojańskiego, który instalowany jest w systemie wraz z fałszywym programem zabezpieczającym. Jego działanie polega na ściąganiu do systemu innych wirusów oraz włączeniu komputera do sieci botneta, umożliwiającej przestępcom wysyłanie z komputera użytkownika spamu oraz przeprowadzanie ataków na inne systemy.

Przestępcy rejestrują wiele domen internetowych pod profesjonalnie brzmiącymi nazwami, na których sprzedawane są ich „programy antywirusowe”. Używają przy tym różnych – podobnych – pisowni, dzięki czemu w przypadku zamknięcia strony przez władze po prostu zastępują domenę inną, podobnie brzmiącą. W ten sposób gra toczy się w zasadzie bez końca. W proceder ten mogą być zamieszane firmy dostarczające Internet oraz rejestrujące domeny.

„Cyberprzestępcy inwestują dużo czasu i energii w najbardziej obiecujące przedsięwzięcia. Obserwowana obecnie kampania jest nastawiona na osiągnięcie maksymalnego zysku – pomysły, które nie przynoszą efektu, są natychmiast porzucane. Gwałtowny jej rozwój wskazuje na to, że idea fałszywych programów ochronnych dobrze sprawdza się w praktyce – ofiarami są najczęściej użytkownicy, którzy z jednej strony mają świadomość zagrożeń, jakie czyhają w Internecie, a z drugiej – chcą zaoszczędzić na profesjonalnych rozwiązaniach. Żerując na tej dość powszechnej motywacji, cyberprzestępcy z sukcesem atakują niezabezpieczonych użytkowników” – powiedział Ralf Benzmüller, menedżer G DATA Security Labs.

Cztery porady od ekspertów G DATA:

Aktualizuj programy ochronne do komputera. Przedawnione wersje próbne programów antywirusowych nie chronią komputera przed tego typu atakami.
Korzystaj z filtrów http, które są zintegrowane w pakietach ochronnych. Zabezpieczają one przed infekcjami bezpośrednio ze strony internetowej. Nigdy nie wyłączaj tych modułów.
Aktualizuj system operacyjny i przeglądarkę.
Zalecamy zablokowanie w przeglądarce uruchamiania skryptów Java, ActiveX i innych aktywnych komponentów, często wykorzystywanych do ataków ze strony internetowej.

Dodaj komentarz