HARD CORE SECURITY LAB

Scareware, czyli oprogramowanie podszywające się pod aplikacje zabezpieczające (np. pod antywirusy), niezmiennie pozostaje jednym z najpopularniejszych rodzajów złośliwego oprogramowania. Komputerowi przestępcy tworzą bardzo realistyczne, fałszywe programy antywirusowe, nic więc dziwnego, że wielu internautów daje się nabrać i kupuje tego typu malware, płacąc za pojedynczą licencję nawet 100 USD! Ku przestrodze, przyjrzymy się szczegółom ataku z wykorzystaniem fałszywego antywirusa.

Głównym zadaniem złośliwego oprogramowania typu scareware jest wyłudzenie od internauty pieniędzy poprzez wygenerowanie nieprawdziwych komunikatów o poważnych błędach w zabezpieczeniach lub infekcjach obecnych w jego systemie, co ma go w konsekwencji zachęcić do zakupu licencji programu zdolnego do usunięcia wszystkich rzekomych zagrożeń. Oczywiście żadne skanowanie nie ma miejsca, a wszelkie zagrożenia są wyimaginowane. Zobaczmy z bliska, jak wygląda tego typu atak:

Jak mogliśmy się przekonać na podstawie powyższego przykładu, wystarczy tylko, że internauta odwiedzi jedną z pierwszych stron zwróconych przez wyszukiwarkę Google. Oczywiście odwiedzona witryna została przygotowana przez komputerowych przestępców, a specjalne techniki manipulowania wynikami zwracanymi przez wyszukiwarki, spowodowały, że znalazła się właśnie pośród pierwszych wyników.

Samo tylko odwiedzenie złośliwej strony powoduje następnie wyświetlenie ostrzeżenia o rzekomej infekcji obecnej w systemie internauty. Jeśli tylko użytkownik komputera zezwoli na rozpoczęcie fałszywego skanowania, to scareware natychmiast odnajduje setki rzekomych trojanów i proponuje od razu pobranie narzędzia zdolnego do wykonania leczenia. Pobrany fałszywy program antywirusowy wygląda całkiem przekonująco i całkiem nieźle symuluje dokładne skanowanie systemu. Niestety ostatecznie okazuje się jednak, że leczenie możliwe jest jedynie po zakupie pełnej licencji...

Trzeba przyznać, że przedstawiony powyżej scareware został przygotowany bardzo profesjonalnie. Cały atak również został bardzo dobrze przygotowany i składa się z kilku niezależnych elementów, takich jak przygotowanie złośliwej witryny, czy też zatrucie wyników zwracanych przez Google Search. Trudno się więc dziwić, że ciągle znajdują się internauci przekonani, że płacąc za scareware nabywają prawdziwego antywirusa.

Jak się okazuje, scareware może przynosić ogromne zyski. Przestępcza grupa, która dystrybuowała zaprezentowany fałszywy program, w ciągu roku zarobiła... 180 milionów USD! Jak to możliwe? Skoro odnośnik do złośliwej witryny udało się wypromować tak wysoko pośród wyników zwracanych przez wyszukiwarkę Google, to z pewnością ruch do niej przychodzący był znaczny. Jeśli założymy całkiem realną ilość odwiedzin na poziomie 100 tys. dziennie i założymy, że tylko 1% odwiedzających skusił się na zakup licencji za 50 USD, to daje nam to obraz tego, ile można na takim procederze zarobić.

Nie dość jednak, że płacimy za licencję fałszywego antywirusa, to jeszcze jego instalacja powoduje najczęściej umieszczenie w naszym systemie prawdziwych zagrożeń, takich jak keyloggery, czy też trojany. Wszystko to powoduje kolejne straty internautów oraz kolejne zyski dla internetowej mafii. Nie dajmy się więc naciągać na kolejne triki komputerowych przestępców. Pamiętajmy, by w trakcie surfowania zachować daleko idącą ostrożność i nieufność.

[źródło]