原來香港用户每月註冊成人網站的潛在費用可高達 4000 萬元!
黑客的手法層出不窮,但有時候即使是一個舊式手法,亦可令欠缺危機意識的用户迅速中招;近日多年來流行於日本的一鍵點擊式欺詐手段正式進軍中、港、台。在日本這種欺詐手段已經存在了十多年,犯罪分子會引誘受害者點擊某些極具誘惑力的提議,強迫他們註冊某些與色情內容有關的服務。過去一鍵點擊式欺詐手段主要針對日語使用者。最近來自 Symantec 的安全專家便發現一鍵點擊式欺詐分子已經開始進行多語言運作,並擴展其攻擊目標範圍,除了常見的日語使用者,他們已經開始針對中文使用者。
在這種詐欺行為中,使用者只要點擊一次就有可能被感染上惡意軟體。當被感染後,使用者將會不斷收到令人討厭,甚至令人尷尬的彈出式視窗,直到他們向推送的服務繳納註冊費用才會停止。近期該種類欺詐手段還通過引誘智能手機使用者在設備上訂閱成人網路頻道來入侵或鎖定瀏覽器。
專家發現這類詐欺活動現在主要針對香港使用者,通過中文彈出式視窗和註冊頁面來要求受害者支付港幣。僅在最近一個月內,Symantec 鎖定了超過 8,000 多個類似案例,可使犯罪分子獲利 4,000 萬港幣。
一鍵點擊式攻擊如何運作?
這類欺詐活動首先欺騙使用者下載並運行看似無害的 HTML 應用(HTA)檔。當使用者訪問一個看似合法但其中如果包含網路頻道播放器或年齡驗證檢查程式視窗的成人網站時,就可能遇到該攻擊。
成人網站上看似合法的網路頻道播放器
當使用者點擊偽造的網路頻道播放器時,一個 HTA 檔會被下載到電腦中,接著電腦將會顯示一個對話方塊,要求使用者批準其運行。
下載的 HTA 檔將會顯示一個對話方塊,要求使用者批準其運行
一旦使用者批準 HTA 檔運行, 網路頻道播放器將會在後臺播放。與此同時 HTA 檔內的惡意腳本會開始運行,該檔將會創建以下登錄機碼,使使用者的電腦桌面不停地彈出視窗
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\”webutcry” = “mshta “%AllUsersProfile%\Application Data\utcry\2VMM509W.hta""
視窗會要求使用者付費註冊一個成人網站,如果使用者支付,系統會通知使用者視窗已被刪除。此外,視窗還具有一個計時器,當又再需要付費時,視窗會再次重啟。
彈出式視窗
這種行為與勒贖軟體非常相似,詐欺分子通過入侵使用者的電腦來索取費用。即使使用者重啟電腦,視窗並不會消失。
同時顯示繁體中文和英文的支付條款
該威脅可創建不同的登錄機碼,例如本文之前提到的登錄機碼,可參考其下載和存儲在本地的彈出圖片和其他資料的 URL。
索取 5,000 港幣的註冊頁面
值得注意的是,由於 HTA 檔需要 mshta.exe 引擎來運行代碼,而該代碼僅可在 Internet Explorer 中使用,所以該威脅僅可對 Internet Explorer 瀏覽器發動攻擊。但是,需要考慮的是由於 HTA 檔可以作為完全受信任的應用運行,不受任何 Sandbox 技術限制,所以 HTA 檔比 HTML 檔擁有更高的許可權,這讓攻擊者可以隨意入侵受害者的電腦。mshta.exe 引擎還擁有寫入檔以及添加和刪除登錄機碼的許可權。除此之外 HTA 檔內的惡意腳本非常模糊,但在運行時將會變清晰。
HTA 檔內的模糊腳本
惡意程式腳本還可創建用於製造不停彈出視窗的登錄機碼。
負責添加註冊表的去模糊腳本
該腳本還會創建兩個 ActiveX 物件,用於查看使用者是否曾經受過此類欺詐活動的攻擊,並啟動不停彈出的視窗進程。
創建兩個 ActiveX 物件的腳本
多語言一鍵點擊式詐欺
一鍵點擊式詐欺在日本已經存在了十多年。網路罪犯僅僅攻擊一個國家所獲得的利潤和目標受眾都會受到限制,受害者最終會認識和瞭解該欺詐行為並不再上當。詐騙分子意識到了這一點,並開始使用不同語言,以擴大其攻擊範圍。鑒於犯罪分子能夠相對輕鬆地對詐騙內容進行當地語系化處理,我們可能會看到更多其他語言和在不同地區的一鍵點擊式攻擊。
保護措施
Symantec 專家建議使用者不要從未知來源處下載和運行 HTA 檔。已經受到感染的使用者可以刪除由腳本導入的登錄機碼和全部檔來刪除彈出式視窗。
黑客新手法月賺 4000 萬港元!一鍵點擊強迫註冊咸網進軍中、港、台
https://www.facebook.com/hkitblog