一鍵點擊式欺詐並不是新的詐騙手段。在日本,這種欺詐手段已經存在了十多年,犯罪分子會引誘受害者點擊某些極具誘惑力的提議,強迫他們註冊某些與色情內容有關的服務。過去,一鍵點擊式欺詐手段主要針對日語使用者。然而Symantec最近發現,一鍵點擊式欺詐分子,已經開始進行多語言運作,擴展其攻擊目標範圍,除了常見的日語使用者,他們亦已開始針對中文使用者。
在這種詐欺行為中,使用者只要點擊一次,即有可能受到惡意程式感染。當感染後,使用者將會不斷收到令人討厭,甚至令人尷尬的快顯視窗,直到他們向推送的服務繳納註冊費用。近期,該種類的欺詐手段,還通過引誘智能手機使用者,在其流動設備上訂閱成人網絡頻道,來入侵或鎖定瀏覽器。Symantec發現,這類詐欺活動現時主要針對香港使用者,通過中文快顯視窗和註冊頁面,要求受害者支付港幣。僅最近一個月內,Symantec即鎖定了超過8,000多個類似案例,可讓犯罪分子從中獲利約4,000萬港幣。
一鍵點擊式攻擊如何運作
首先,這類欺詐活動會欺騙使用者下載,並運行看似無害的HTML應用(HTA)檔。 當使用者訪問一個看似合法,但其中如果包含網絡頻道播放器,或年齡驗證檢查程式視窗的成人網站時,即可能遇到該攻擊。當使用者點擊偽造的網絡頻道播放器時,一個HTA檔會被下載到使用者的電腦,接著,電腦將會顯示一個對話方塊,要求使用者批准執行。
一旦使用者批准執行HTA檔,網絡頻道播放器即會在後台播放。與此同時,HTA檔內的惡意編程會開始執行,該檔將會建立以下登錄機碼,令使用者的電腦桌面不停地快顯視窗:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
”webutcry” = "mshta "%AllUsersProfile%\Application Data\utcry\2VMM509W.hta""
快顯視窗會要求使用者付費註冊一個成人網站,如果使用者決定支付,系統會通知使用者快顯視窗已被刪除。此外,快顯視窗還具有一個計時器,顯示該費用報價到期的倒數計時。這種行為與勒贖軟件非常相似,詐欺分子通過入侵使用者的電腦來索取費用,即使使用者重啟電腦,快顯視窗亦不會因而消失。
僅針對Internet Explorer發動攻擊
該威脅可建立不同的登錄機碼,例如之前提及的登錄機碼,可參考其下載和存儲在本地的彈出圖片,和其他資料的URL。值得注意的是,由於HTA檔需要mshta.exe引擎來執行代碼,而該代碼僅可在Internet Explorer中使用,所以該威脅僅可針對Internet Explorer瀏覽器發動攻擊。惟需要考慮的是,由於HTA檔可以作為完全受信任的應用執行,不受任何沙箱限制,故HTA檔比HTML檔擁有更高的許可權,讓攻擊者可隨意入侵受害者的電腦。mshta.exe引擎還擁有寫入檔,以及添加和刪除登錄機碼的許可權。除此之外,HTA檔內的惡意編程非常模糊,但在執行時則會變得清晰。注意惡意編程還可建立用於製造不停快顯視窗的登錄機碼,該編程還會建立兩個ActiveX物件,用於查看使用者是否曾經受過此類欺詐活動的攻擊,並啟動不停快顯視窗的進程。
多語言一鍵點擊式詐欺
一鍵點擊式詐欺在日本已經存在多年。網絡罪犯僅攻擊一個國家所獲得的利潤,和目標受眾都會受到限制,受害者數目最終會隨時日遞減,不再上當。詐騙分子意識到這點,於是開始使用不同語言,以擴大其攻擊範圍。鑒於犯罪分子能相對輕鬆地對詐騙內容進行當地語系化處理,可以預期未來將出現更多其他語言,和在不同地區偵測到一鍵點擊式攻擊。
有見及此,Symantec建議使用者不要從未知來源下載和執行HTA檔。已受感染的使用者,可以刪除由編程導入的登錄機碼和全部檔,來刪除快顯視窗。
沒有留言:
發佈留言