Cybercriminals εκτελούν απάτες One-Click fraud με στόχο την επέκταση των δραστηριοτήτων τους στο Hong Kong, πετυχαίνοντας χιλιάδες επιθέσεις εναντίον χρηστών μέσα στον προηγούμενο μήνα.
Η απάτη είναι αντίστοιχη με αυτή του ransomware, εμφανίζει ένα μόνιμο παράθυρο pop-up, που για να «ξεκλειδώσει» την οθόνη του υπολογιστή, ζητά χρηματική πληρωμή για την εγγραφή σε ιστοσελίδα ενηλίκων.
Παρότι, αυτός ο τύπος απάτης προσελκύει θύματα για πάνω από 10 χρόνια τώρα, ήταν κάπως γεωγραφικά περιορισμένος, καθώς οι περισσότερο στοχοποιημένοι ήταν οι Ιάπωνες χρήστες.
Ωστόσο, τα νέα ευρήματα από την εταιρεία security Symantec, δείχνουν ότι οι cybercriminals στοχεύουν πλέον και στην κινεζική αγορά, και προσαρμόζουν την απάτη τους αναγράφοντάς την με παραδοσιακούς κινέζικους χαρακτήρες στο Hong Kong.
«Φαίνεται πως οι απατεώνες του One-Click fraud αποφάσισαν να γίνουν πολύγλωσσοι σε μία προσπάθεια να διευρύνουν τους ορίζοντες τους και να διερευνήσουν νέες ευκαιρίες στην αγορά» ενημερώνει σε blogpost του ο Himanshu Anand, την Πέμπτη.
Ο Anand δηλώνει επίσης πως τα προϊόντα της Symantec σταμάτησαν πάνω από 8.000 επιθέσεις κατά την διάρκεια του προηγούμενου μήνα, οι οποίες θα μπορούσαν να έχουν εξαπατήσει χρήστες με ζημία μεγαλύτερη των 5 δολαρίων/ευρώ και 4.460.000 σε δολάρια Hong Kong.
Σε αυτή την συγκεκριμένη εκστρατεία One-Click fraud, απαιτείται από το πιθανό θύμα να κατεβάσει ένα HTML application (HTA), στο οποίο αν χορηγηθεί άδεια, εκτελεί κακόβουλο script. Το αρχείο μοιάζει άκακο και προσφέρεται όταν ο χρήστης περιηγείται σε ιστοσελίδα με περιεχόμενο για ενήλικες αποκτώντας πρόσβαση σε παράθυρο αναπαραγωγής βίντεο ή age gate.
Σύμφωνα με τον Anand, το pop-up της συνδρομής εκτελεί επανεκκίνηση του υπολογιστή και είναι σχεδιασμένο ώστε να αναγκάσει το θύμα να πληρώσει ώστε να αφαιρεθεί απ’ την οθόνη.
Παρόλα αυτά η επίθεση One-Click fraud επηρεάζει μόνο τους χρήστες του Internet Explorer, καθώς τα αρχεία HTA, βασίζονται για την εκτέλεση κώδικά στην mshta.exe engine, που υπάρχει μόνο στον web browser της Microsoft.
Δεδομένου ότι οι HTA κυκλοφόρησαν ως πλήρως αξιόπιστες εφαρμογές και δεν είναι απομονωμένες στο sandbox, οι εγκληματίες του κυβερνοχώρου θα μπορούσαν να θέσουν σε κίνδυνο τον υπολογιστή των θυμάτων με πολύ χειρότερο τρόπο απ’ αυτόν, όπως να κλέψουν προσωπικά δεδομένα, να μετατρέψουν το σύστημα σε botnet για να διαδίδουν spam ή να εκτελούν επιθέσεις DDoS.
