揭秘续签合约背后的诈骗故事

一、简介

二、虚假续约通知

目前，Malwarebytes已经收到了一些受害者或热心人士提供的报告。本文虽聚焦于假冒Malwarebytes的那些公司，但仍要从攻击者冒充多家安全公司，投递诈骗电子邮件讲起。

电子邮件内容为产品的续费通知，声称受害者通过信用卡购买了该产品，金额通常在300美元到500美元之间，这比通常的收费要高得多。

骗子希望受害者给他们打电话，对自动续费提出异议。大多数人在情绪激动的时候往往不会去查看他们的银行或信用卡核对账单。

这种方式本质上是一种“潜在客户开发机制”，就像看到的浏览器虚假的警告一样。它只是碰巧使用了电子邮件这一传递媒介，即使效果不好，但仍然会有一定的效果。

三、远程访问与推销

骗子要求受害者访问一个网站，让所谓的“技术人员”访问他们的电脑。给出的理由是需要先卸载该服务，然后才退款。在这个例子中，骗子要求受害者访问一个远程访问软件的网站zfix[.]tech下载TeamViewer，并告知其ID和密码，这样骗子就可以连接受害者的电脑了。

事实上，受害者在未知情况下，还下载安装了另一程序SupRemo，以保持无人操作情况下的访问。这意味着即使受害者关闭了TeamViewer，骗子仍然可以在他们想连接的时候连接受害者的电脑。

骗局的后面部分很精彩，因为它揭露了骗子如何向受害者勒索钱财。由于续费邮件是假的，所以即使受害者拒绝续费，他们也得想办法骗取钱财。

骗子使用他们最喜欢的工具——记事本，开始不停地输入不更新服务的风险，因为他们坚信：如果他们继续这样做，计算机可能就不再工作。

四、锁定机器

在许多情况下，骗子会锁定受害者的机器，他们通常会使用SysKey Windows实用程序输入只有他们知道的密码。

但在这个案例中，骗子使用了不同的技术。在后台，他们下载了一个VBS脚本到机器上，并将其放入启动文件夹中。

启动文件夹是一个很容易被滥用的加载点，因为它可以在系统加载窗口时触发代码运行。果然不出所料，骗子最后要求受害者重启机器，完成卸载过程。

重启后，会看到一个关于Windows许可证过期的警示框，尽管单击了“ok”按钮，但此消息仍会持续显示，并开始打开许多个浏览器窗口，以模拟恶意软件感染。

此时，受害者可能会很惊慌，拨打骗子提供的号码寻求帮助，最终向骗子支付数百美元。下面一节介绍一种安全地恢复受害者计算机的方法。

五、禁用锁定脚本

首先要做的是断开电脑与互联网的连接，如果使用的是有线宽带，将其拔下，如果使用的是无线网络，则关闭WiFi。

继续禁用脚本:

• Ctrl+Alt+Delete
• 选择任务管理器
• 选择基于Microsoft Windows脚本的主机
• 单击“结束任务”

然后删除脚本：

• 如果需要的话，可以在任务管理器中单击“更多详细信息”
• 选择“运行新任务”
• 在框中输入"explorer"

之后，桌面再次出现，允许进入到以下路径：

C:Users[yourusername]AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup

然后，从这里删除WIN LICENSE.vbs文件。

六、攻击溯源

尽管这家公司成立于2018年，但骗子至少从2015年起就一直很活跃，并使用了几种不同的域名和身份。

七、一个活跃的计划

这个特别的计划在过去几个月里异常活跃，因此，很难估计有多少人是其受害者。技术支持类诈骗已经存在许多年了，且一直是一个巨大的问题，部分原因是已知领域缺乏相应举措。不过，为了降低受害者损失，安全界也在积极采取行动，追踪攻击者。

八、IOC列表

—END—

本文为CNTIC编译，不代表本公众号观点，转载请保留出处与链接。

联系信息进入公众号后点击“论坛信息”可见。

原文标题：Software renewal scammers unmasked

原文链接：

https://blog.malwarebytes.com/cybercrime/2021/03/software-renewal-scammers-unmasked/

编译：CNTIC情报组

本文始发于微信公众号（国家网络威胁情报共享开放平台）：揭秘续签合约背后的诈骗故事