Для обхода обнаружения антивирусным ПО преступники используют два уровня шифрования.
Выдающие себя за техподдержку мошенники взяли на вооружение новую технику обхода обнаружения антивирусными продуктами. Как сообщаютспециалисты Symantec, техники, используемые злоумышленниками в ходе новой, недавно обнаруженной операции, были позаимствованы у высококвалифицированных хакерских и кибершпионских групп. С их помощью мошенникам удается успешно скрывать вредоносную активность.
Фальшивая «техподдержка» - весьма распространенный вид мошенничества. В данной сфере работает множество групп, но все они придерживаются одной схемы. Когда жертва попадает на вредоносный сайт (случайно или через вредоносную рекламу), появляется ложное уведомление о заражении компьютера вредоносным ПО или блокировке правоохранительными органами. Для решения проблемы мошенники советуют жертве обратиться за помощью в «техподдержку» и выманивают у нее плату за ненужные услуги.
В ходе описанной Symantec кампании злоумышленники выдают себя за Министерство обороны Испании. На экраны выводится сообщение о том, что компьютер жертвы был заблокирован министерством за распространение незаконных материалов. Для разблокировки компьютера пользователь должен заплатить штраф в размере 500 евро (в виде подарочной карты iTunes).
Проанализировав исходный код, исследователи обнаружили большое число обфусцированных строк. Обфускация кода весьма распространена среди мошенников, выдающих себя за техподдержку. Однако в данном случае злоумышленники использовали два уровня шифрования AES, что встречается весьма редко. Благодаря этому им удается эффективнее обходить антивирусное ПО.
Напомним, за последние два месяца сотрудники индийских правоохранительных органов пресекли деятельность 26 мошеннических колл-центров, выдающих себя за техподдержку Microsoft, Google, Apple и других крупных компаний.