许多Windows用户熟悉可怕的蓝色屏幕死亡(AKA BSOD),通常在系统崩溃时发生。
由于有很多原因,可以发生BSOD,例如,当存在内存访问冲突时。到最终用户,它通常意味着他们丢失了所有工作,并且在下次重新启动时,窗口可能不会幸福。
这也是一个相当可怕的屏幕(至少在Windows 8之前是这样),这正是技术支持骗子利用来欺骗潜在受害者,让他们立即寻求帮助。
假浏览器bsod
我们记录了使用恐慌页面前BSOD主题是一种自然的契合。误解甚至以非常明确的名称注册网站,并通过流氓关联公司或黑帽广告商通过推出它们。
这一切都是关于吓唬策略,让人们呼吁支持。
- http://bluescreenAlert.com/
- http://bluescreenerrors.net/
这些页面的模板非常简单,只有几行HTML代码:
那些恐慌页面也非常有效,尤其令人讨厌,因为使用JavaScript代码来弹出警报AD Infinitum。
假恶意软件bsod
技术支持诈骗者有另一个诡计,在困境中首次在BleepingComputer中报告论坛,基本上建立了一块恶意软件来创建一个几乎真正的bsod。
如下,如下所示,没有浏览器窗口,BSOD以全屏显示。更令人讨厌的是这个“劫持”是定期发生的事实。
我们为导致这种“感染”的初始安装人员挖掘。令人惊讶的是,它从一只小狗开始(谢谢富有Matteo识别它):
丢弃数字签名的可执行文件(SenseIUpdater.exe)由Fidelis IT Solutions Private Limited制造。值得注意的是,这种情况发生在PUP运行时,但在点击Next之前会出现“我同意”按钮。
C:\ users \%userprofile%\ appdata \ roaming \ sensiiupdater \
这是一个相当基本但又有趣的恐慌,其目的是通过使用类似恶意软件技术创建更持久的唠叨用户的方式。
首先,除非将其传递给它,除非特殊参数(如下图)将其有效载荷将不会进行,除了它,这很可能在沙箱中分析时出现良性的(弱)。
如果通过了正确的参数,我们将移动到下一阶段,其中恶意软件检查系统,以查找系统,例如IP地址,国家/地区,城市等各种信息:
我们注意到虚拟机的检测,以便如果文件在VMware中运行,则将在不执行真正有效载荷的情况下退出。
然后,将收获的数据发送到远程数据库 - 凭据在二进制(可怜的Opsec)内硬编码 - 以及存储在本地配置文件中:
然后,示例通过在TaskScheduler中添加任务来安装挂钩点,即使计算机重新启动即使计算机也可以运行:
这允许恶意软件以定期间隔与命令和控制服务器通信,并确定它是否应该显示假BSOD。
BSOD本身是用以下代码创建的:
页面的某些元素是动态的,特别是Toll免费电话号码,允许骗子在需要时更新它。最后,BSOD:
此消息将在全屏中显示,同时禁用两个键盘和鼠标,防止用户关闭它。
唯一的出路似乎正在重启电脑。
毫无疑问,许多人将被苦恼并落下这个骗局。那么如果你打电话给免费电话号码,究竟究竟发生了什么?
流氓科技支持
接听电话的'代理人'有一个沉重的印度口音,坐在一个拥挤的锅炉房里,判断他周围的巨大的噪音。在取消您的姓名和操作系统信息的基本手术后,他将您下载TeamViewer遥控软件。
技术人员开始泄漏窗口并甚至正在下载假“微软互联网安全和安全中心”,这并不是很长时间,这是一个简单的批处理文件(Microsoft Scanner.bat.)
该程序仅仅是一些文件列表命令,并填充虚假警告错误。技术人员确保坚持您的计算机与病毒串行,并且已经参与恐怖袭击事实。
这政变DEGRÂCE.享受契约来清理其他电脑。
该公司背后的特定操作是您的技术支持,他们已被添加到我们的技术支持诈骗黑名单为了:
- 使用误导性战术来强制销售
- 在完美清洁系统上寻找病毒,恶意软件或感染
尽管它在其网站上说了什么,但它们不在美国,而是在印度德里(IP查询)ipligence.)。
Wannabe Malware作者?
技术支持诈骗者从最简单的社会工程形式开始冷呼叫人们。这种技术很便宜但具有较低的成功率,因为它是非常随机的,并且(太多)在使用中,它开始效率较低。
在线广告的滥用是欺诈者试图进入潜在受害者面前的逻辑下一步。事实上,他们简单地复制了其他网络犯罪分子之前所做的事情,例如眉头锁定。
如果他们可以编码HTML.模板,它们还可以代码真实应用程序。我们看到了修改版本抗病毒的流行安装人员软件。
然而,这个最新的化身是一点令人担忧的,因为这是恶意软件的领域,一旦进入它,就没有路了。
必威平台APPMalwarebytes反恶意软件检测此文件ransom.senseiupdater。
非常感谢丰富的Mateo,约书亚加拿他尔和hasherezade.为了他们各自的贡献。
评论