揭秘续签合约背后的诈骗故事

  • A+
所属分类:安全新闻


揭秘续签合约背后的诈骗故事
揭秘续签合约背后的诈骗故事

一、简介


近几个月,Malwarebytes持续追踪一个欺诈事件,攻击者冒充Malwarebytes和一些其它知名的安全厂商,发送含有虚假发票的电子邮件。
这种欺诈方式简单且有效,受害者收到一份过去可能用过,也可能没用过的产品的购买发票,金额通常很高,因此内心不安或烦恼,于是就会拨打发票上提供的电话号码,就费用提出异议并要求骗子退款。
这是受害者会犯的第一个错误,第二个错误就是让陌生人远程访问自己的电脑并卸载产品,避免收费。在受害者发现自己上当之前,其电脑被锁定并显示随机弹出窗口。

揭秘续签合约背后的诈骗故事
揭秘续签合约背后的诈骗故事

二、虚假续约通知


目前,Malwarebytes已经收到了一些受害者或热心人士提供的报告。本文虽聚焦于假冒Malwarebytes的那些公司,但仍要从攻击者冒充多家安全公司,投递诈骗电子邮件讲起。

电子邮件内容为产品的续费通知,声称受害者通过信用卡购买了该产品,金额通常在300美元到500美元之间,这比通常的收费要高得多。

揭秘续签合约背后的诈骗故事

揭秘续签合约背后的诈骗故事

揭秘续签合约背后的诈骗故事


骗子希望受害者给他们打电话,对自动续费提出异议。大多数人在情绪激动的时候往往不会去查看他们的银行或信用卡核对账单。

这种方式本质上是一种“潜在客户开发机制”,就像看到的浏览器虚假的警告一样。它只是碰巧使用了电子邮件这一传递媒介,即使效果不好,但仍然会有一定的效果。


揭秘续签合约背后的诈骗故事
揭秘续签合约背后的诈骗故事

三、远程访问与推销


骗子要求受害者访问一个网站,让所谓的“技术人员”访问他们的电脑。给出的理由是需要先卸载该服务,然后才退款。在这个例子中,骗子要求受害者访问一个远程访问软件的网站zfix[.]tech下载TeamViewer,并告知其ID和密码,这样骗子就可以连接受害者的电脑了。


揭秘续签合约背后的诈骗故事


事实上,受害者在未知情况下,还下载安装了另一程序SupRemo,以保持无人操作情况下的访问。这意味着即使受害者关闭了TeamViewer,骗子仍然可以在他们想连接的时候连接受害者的电脑。


揭秘续签合约背后的诈骗故事


骗局的后面部分很精彩,因为它揭露了骗子如何向受害者勒索钱财。由于续费邮件是假的,所以即使受害者拒绝续费,他们也得想办法骗取钱财。

揭秘续签合约背后的诈骗故事


骗子使用他们最喜欢的工具——记事本,开始不停地输入不更新服务的风险,因为他们坚信:如果他们继续这样做,计算机可能就不再工作。


揭秘续签合约背后的诈骗故事
揭秘续签合约背后的诈骗故事

四、锁定机器


情况,骗子会锁定受害者的机器,他们通常会使用SysKey Windows实用程序输入只有他们知道的密码。

但在这个案例中,骗子使用了不同的技术。在后台,他们下载了一个VBS脚本到机器上,并将其放入启动文件夹中。

揭秘续签合约背后的诈骗故事


揭秘续签合约背后的诈骗故事


启动文件夹是一个很容易被滥用的加载点,因为它可以在系统加载窗口时触发代码运行。果然不出所料,骗子最后要求受害者重启机器,完成卸载过程。


揭秘续签合约背后的诈骗故事


重启后,会看到一个关于Windows许可证过期的警示框,尽管单击了“ok”按钮,但此消息仍会持续显示,并开始打开许多个浏览器窗口,以模拟恶意软件感染。


揭秘续签合约背后的诈骗故事


此时,受害者可能会很惊慌,拨打骗子提供的号码寻求帮助,最终向骗子支付数百美元。下面一节介绍一种安全地恢复受害者计算机的方法。

揭秘续签合约背后的诈骗故事
揭秘续签合约背后的诈骗故事

五、禁用锁定脚本


首先要做的是断开电脑与互联网的连接,如果使用的是有线宽带,将其拔下,如果使用的是无线网络,则关闭WiFi。

继续禁用脚本:

  • Ctrl+Alt+Delete
  • 选择任务管理器
  • 选择基于Microsoft Windows脚本的主机
  • 单击“结束任务”

揭秘续签合约背后的诈骗故事


然后删除脚本:

  • 如果需要的话,可以在任务管理器中单击“更多详细信息”
  • 选择“运行新任务”
  • 框中输入"explorer"

揭秘续签合约背后的诈骗故事

之后,桌面再次出现,允许进入到以下路径:

C:Users[yourusername]AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup

然后,从这里删除WIN LICENSE.vbs文件。


揭秘续签合约背后的诈骗故事
揭秘续签合约背后的诈骗故事

六、攻击溯源


由于不能从骗子那里获取更多细节,因此无法确定他们是谁,但有时可以借助运气、技术和类似HYAS Insight这样的工具来了解对手的基础设施。事实上,骗子也留下了一些线索与VBS脚本,但更重要的是,受害者访问的第一个下载远程访问软件的站点。
该站点zfix[.]tech是由Aman Deep Singh Sethi使用域名[email protected][.]com注册的,另外,以相关的电话号码[+9]19810996265为中心,发现了骗子的一个更大的诈骗基础设施以及一个名叫SwinderSingh的同伙。
两人都是新德里LucroSoft pvt公司的董事,该公司位于新德里西德里SUBHASH NAGAR 14/28楼,邮编:110027。


揭秘续签合约背后的诈骗故事

揭秘续签合约背后的诈骗故事

尽管这家公司成立于2018年,但骗子至少从2015年起就一直很活跃,并使用了几种不同的域名和身份。


揭秘续签合约背后的诈骗故事


揭秘续签合约背后的诈骗故事
揭秘续签合约背后的诈骗故事

七、一个活跃的计划


这个特别的计划在过去几个月里异常活跃,因此,很难估计有多少人是其受害者。技术支持类诈骗已经存在许多年了,且一直是一个巨大的问题,部分原因是已知领域缺乏相应举措。不过,为了降低受害者损失,安全界也在积极采取行动,追踪攻击者。


揭秘续签合约背后的诈骗故事
揭秘续签合约背后的诈骗故事

八、IOC列表


电话号码

1[-]833[-]966[-]2310
1[-]954[-]800[-]4124
1[-]954[-]800[-]4124
1[-]877[-]373[-]2393
1[-]800[-]460[-]9661
1[-]325[-]221[-]2377
1[-]800[-]674[-]5706 1[-]855[-]966[-]6888
1[-]877[-]373[-]2393 1[-]866[-]504[-]0802

邮箱:

[email protected][.]com
[email protected][.]com
[email protected][.]com

[email protected][.]com


域名:

help-live[.]us
live-support[.]us
quick-help[.]us  
network-security-alerts[.]com          
cyberonservices[.]com
zfix[.]tech
2fix[.]tech
cybersmart[.]xyz
live-support[.]us
safebanking[.]biz
classifiedlookup[.]com
quickhelpdesk[.]in
cyberonservices[.]com
support247live[.]us
help-live[.]us
2fix[.]tech
cmdscan[.]info
rrlivehelp[.]com
delvelogic[.]us
quickhelpdeskk[.]us
quick-help[.]us
quickhelpdeskk[.]us
amazondevicesupports[.]xyz
live-online-support[.]info
help365[.]us
cyberonservices[.]com
rightassists[.]com
yahoomailhelplinenumber[.]com
hotmailhelplinenumber[.]com
webroot-support-number[.]com


揭秘续签合约背后的诈骗故事
END


本文为CNTIC编译,不代表本公众号观点,转载请保留出处与链接。

联系信息进入公众号后点击“论坛信息”可见。


原文标题:Software renewal scammers unmasked

https://blog.malwarebytes.com/cybercrime/2021/03/software-renewal-scammers-unmasked/

编译:CNTIC情报组


揭秘续签合约背后的诈骗故事

本文始发于微信公众号(国家网络威胁情报共享开放平台):揭秘续签合约背后的诈骗故事

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: