几个月来,我们一直在追踪一个涉及更新通知的欺诈计划。之所以引起我们的注意,是因为Malwarebytes品牌和其他流行名称被用必威平台APP来通过电子邮件发送虚假发票。
这个概念简单而有效。您可以收到您可能的产品的发票,或者可能在过去通常用于通常高金额。感到沮丧或恼火你会致电提供的电话号码争取充电并要求你的钱。
那是你的第一个错误。第二个是让陌生人远程访问计算机,以便他们卸载产品以避免充电。在您知道之前,您的计算机已被锁定并显示随机弹出窗口。
在这个博客中,我们遵循受害者到诈骗者的路径,并确定运行此阴暗业务惯例的一组。
假续订通知
我们收到了很多类似的报告,有的人被骗了,有的人只是想提醒我们。它从一封使用了一些安全公司品牌的电子邮件开始,尽管在本博客中我们将重点关注那些冒充Malwarebytes的公司。必威平台APP
该电子邮件包含一个发票续订产品,该产品授予它已通过信用卡处理的产品。金额通常是300美元到500美元的范围,这比我们通常的更多更多收费。
诈骗者希望受害者将称为自动更新。在当下的热度中,大多数人不会想到他们的银行或信用卡声明。
该方案基本上是一个引导生成机制,就像我们用假浏览器警报所看到的?它恰好恰好使用不同的交付向量(电子邮件),也许就像没有更有效的那样。
远程访问和销售游说
受害者被要求访问一个网站,让“技术人员”访问他们的电脑。给出的理由是,该服务需要先卸载,然后才能获得退款。
在这个例子中,骗子要求我们访问zfix[。这是一个链接到多个远程访问程序的网站。他们要求我们下载TeamViewer并分享ID和密码,这样他们就可以连接了。
他们还悄悄地下载并安装了另一个程序(Supremo)以维护无人看管的访问。这意味着即使您关闭TeamViewer,诈骗者仍然可以在觉得它时连接到您的计算机。
该计划的下一部分是有趣的,因为它显示了欺诈者如何能够从受害者那里勒索金钱。由于续订电子邮件是假的,因此即使拒绝,他们也必须找到一种方法来欺骗你付钱。
诈骗者采取了他们最喜欢的工具,记事本,开始打字关于不再续订服务的风险。他们特别坚持认为,如果他们继续,计算机可能无法使用。
锁住机器
众所周知,骗子会多次锁定受害者的电脑。他们通常使用Syskey.Windows实用程序输入一个只有他们知道的密码。
在这种情况下,它们使用了不同的技术。在幕后工作,他们将VBS脚本下载到他们放入启动文件夹中的计算机上。
Startup文件夹位置是一个很容易被滥用的加载点,因为它可以在系统加载Windows时触发代码运行。不出所料,在分手之前,骗子要求我们重新启动机器来完成卸载过程。
在重新启动之后,我们会看到一个警告对话框,提示Windows许可证已经过期。尽管点击OK按钮,这条消息仍然继续显示,并开始打开一些浏览器窗口,以模拟某种恶意软件感染。
在这一点上,你可能会试图拨打这个号码寻求帮助,但这最终会给骗子支付数百美元。有一种方法可以安全地恢复您的计算机,我们将在下一节介绍。
禁用锁定脚本
首先要做的是断开你的机器与互联网的连接。如果它使用的是有线调制解调器,请拔掉它,否则只需关闭调制解调器或你的WiFi接入点。
然后继续禁用脚本:
- Ctrl + Alt + Delete
- 选择任务管理器
- 选择“Microsoft Windows脚本主机”
- 点击“结束任务”
然后删除脚本:
- 在任务管理器中单击“更多细节”(如果需要)
- 选择“运行新任务”
- 在框中输入资源管理器
您的桌面将再次可见,允许您浏览到:
C:\ Users \ [您的用户名] \ AppData \ Roaming \ Microsoft \ Windows \ START MENU \ Programs \ startup
从那里,删除Win License.vbs文件
识别骗子
我们并不总是从诈骗者那里得到太多细节,这些诈骗者可以帮助我们识别他们是谁,但有时运气,技巧和工具Hyas Insight.我们可以了解对手的基础设施。在这里,骗子留下了一些与VBS脚本,但更重要的是,我们访问的第一个网站下载远程访问软件。
我们能够识别落后的注册人zfix [。]技术域名为aman deep singh sethi使用aman.techsquadonline@gmail。com电子邮件地址。在相关的电话号码上枢转[+9] 19810996265我们发现了更大的诈骗基础设施以及命名的员工Swinder辛格。
两个个人都被注册为新德里一家公司的董事lucro软pvt位于14/28,F / F Subhash Nagar Nagar New Delhi West Delhi DL 110027。
尽管该公司成立于2018年,但这些骗子至少从2015年就开始活跃,使用了几个不同的域名和身份。我们正在封锁这一基础设施并报告要将其摧毁。如果您想了解更多关于这个小组的信息,请与我们联系。
积极的计划
这个特别的计划在过去几个月非常活跃,很难估计有多少人成为它的受害者。
科技支持诈骗已经存在多年,并且由于缺乏对众所周知的领域缺乏行动,继续存在巨大的问题。
然而,还有一个强大的社区,正在追求诈骗者并回馈受害者。喜欢吉姆布莱布林谁为他制作了头条新闻黑客入住呼叫中心的CCTV正在做一个不懈的工作。对于这项调查,我们使用了由此进行的虚拟机@NeeP那模拟普通用户桌面。
如果您是Malwareby必威平台APPtes客户并对您的续订有任何疑问,请访问我们的官方页面在这里。
妥协指标
电话号码:
1 [ - ] 833 [ - ] 966 [ - ] 2310
1 [-] 954 [-] 800 [-] 4124
1 [ - ] 909 [ - ] 443 [ - ] 4478
1 [-] 877 [-] 373 [-] 2393
1 [ - ] 800 [ - ] 460 [ - ] 9661
1 [-] 325 [-] 221 [-] 2377
1 [ - ] 800 [ - ] 674 [ - ] 5706
1 [ - ] 855 [ - ] 966 [ - ] 6888
1 [-] 877 [-] 373 [-] 2393
1 [-] 866 [-] 504 [-] 0802
电子邮件:
aman.techsquadonline@gmail。com
aman.bigrock1@gmail。com
aman.bigrock2@gmail [。] com
aman.bigrock3@gmail。com
网站域名:
help-live(。)
实时支持[。]我们
快速帮助[。]我们
网络 - 安全警报[。] com
CyberConservices [] com
zfix [。]技术
2fix [。]技术
Cybersmart [。] XYZ
实时支持[。]我们
safebanking [。] biz
分类Lookup[。] com
quickhelpdesk(。)
CyberConservices [] com
support247live(。)
help-live(。)
2fix [。]技术
cmdscan [。]信息
rrlivehelp [。] com
delvelogic [。]我们
Quickhelpdeskk [。]我们
快速帮助[。]我们
Quickhelpdeskk [。]我们
AmazondeviceSupports [。] XYZ
live-online-support。信息
help365(。)
CyberConservices [] com
rightassists。com
Yahoomailhelplinenumber [。] com
hotmailhelplinenumber [。] com
webroot-support-number [。] com
评论