注:感谢Wack0lian的研究贡献
看起来诈骗作为一种服务是一种增长的商业模式。最后一次,我们研究了inboundpopaps[。信息,一个狡猾的骗局,在一个盒子里设计,使甚至最技术文盲的罪犯,并运行和窃取你。今天,我们发现了一些更有趣的东西——盒子公司的骗局,也提供情报线索。也就是说,他们会把骗局卖给你,让你首先找到最容易受到攻击的目标。
2014年7月,有人以BPO Resources的名义在一个外包IT服务论坛上发布了以下内容。
通常情况下,技术支持呼叫者对他们所呼叫的对象一无所知,所以针对特定公司客户的有针对性的线索很有趣。几乎相同的措辞出现在bpoexpertsglobal.blogspot.com上。
不过这一次,威胁行动者也提供了互联网服务提供商的老年客户的个人数据。这并不奇怪,因为各种各样的骗子更喜欢欺骗老年人。鉴于这家伙似乎在分散他的犯罪领域,他最近可能会提供什么?搜索业务流程外包专家全球提供Youtube频道那个骗子好心地展示了他正在出售的屏幕储物柜。(我们写过关于这些储物柜的文章在这里).如果你已经被这类事情击中,一定要检查我们的论坛的移除指南。让我们让骗子自己说一分钟:
"这是我制作的软件"
"现在进入安全的防弹服务器"
这是后端登录面板,当您输入错误的密码时,会有一个有趣的图形。
这里我们有面板本身,作者吹嘘能够触发弹出窗口,无形的url,并在受害者的机器上下载一个执行执行,所有这些在Windows机器上没有任何UAC警报。换句话说,就是僵尸网络。所以我们有一个威胁行动者从卖线索,到卖偷来的数据,再到卖屏幕柜来支持其他骗子。但这家伙是谁?他是如何获得戴尔客户数据的?让我们从他在哪里开始。
在用自己的产品感染自己的同时,他忘记抹掉自己的IP,这是在班加罗尔的一家宽带公司注册的。面板底部的脚注上写着“Accelerit Solutions”,由此可以看到systemnetworksecure.com的主页。该网站及其电话号码出现在大量的垃圾评论和各种技术支持诈骗宣传中,但没有提供任何个人信息。直接搜索公司名称更有趣。
他显然也不喜欢和他的客户打交道,我们可以从他之前的网站上看到。如果您还记得,BPOresources是在2014年发布最初论坛帖子的帐户名称。
最后,他还是一个公开出售预制技术支持诈骗页面的Facebook小组的成员。
所以我们很清楚谁是业务流程外包专家全球的幕后黑手。但是他们是怎么得到戴尔的客户数据的呢?嗯,可能有几种方式。早在今年1月,Ars technica报道了一波技术支持诈骗电话,目标是拥有明显准确购买信息的戴尔客户。那篇文章引用了2015年11月25日披露的一个漏洞在这里(后续在这里),涉及一个易受攻击的预安装证书,可用于泄露戴尔所有者的服务标签。布莱恩·克雷布斯跟进引用了相同的漏洞,并引用了正在进行的戴尔调查。
X先生自己并不一定要利用这个弱点。技术支持诈骗者以快速分享ttp而闻名,据推测,一旦一个诈骗者获得了戴尔客户数据的访问权,他就会迅速将其出售和转售给其他人。考虑到最初的论坛帖子是2014年发布的,数据缓存很可能在印度的地下被广泛使用。尽管如上所述,骗子们在美国社交媒体和英语上可以自由地进行公开交易。
X先生的技术支持僵尸网络不是我们第一次见到。他陷入了我们最近观察到的一个趋势,即更有进取心的骗子适应了不断变化的搜索引擎政策,禁止远程技术支持列表,并将他们的技术升级到更复杂、更具有破坏性的方法,这与现有的恶意软件非常相似。随着技术不熟练的罪犯被挤出,我们有理由期待,我们将看到剩下的骗子改进、适应和克服。
评论