Мошенники, занимающиеся ковровым обзвоном от имени службы техподдержки Microsoft, уже давно докучают американцам. К сожалению, ложное известие о проблемах с компьютером до сих пор способно настолько расстроить представителей старшего поколения, что они, не задумываясь, могут предоставить незнакомцу удаленный доступ к своей машине, а также все запрошенные данные, вплоть до реквизитов банковского счета.

Тем не менее образовательно-просветительские мероприятия и многократные официальные предупреждения сделали свое дело, и этот подпольный бизнес стремительно теряет рентабельность. Обманщикам приходится пускаться на дополнительные ухищрения, чтобы вызвать искомую реакцию у пользователя и сохранить доход. Так, например, они размещают на своем сайте JavaScript, при отработке которого на странице отображается всплывающее окно, замаскированное под «синий экран смерти» (BSoD). При этом посетителю услужливо предлагается позвонить по указанному номеру «службы техподдержки Microsoft», который в итоге оказывается платным.

Недавно исследователи из Malwarebytes обнаружили еще один, более убедительный мошеннический прием, использование которого, по их мнению, может перерасти в тенденцию. Как сообщает ZDNet.com, злоумышленники в подтверждение «проблем» начали блокировать рабочий стол. «Внесем ясность: это не поддельный поп-ап в браузере, от которого легко избавиться, закрыв приложение или перезагрузив ПК, — поясняют эксперты. — Отнюдь нет, это проделки вредоносного ПО, стартующего автоматически, и привычная комбинация Alt+F4 или трюки с участием клавиши Windows здесь не помогут».

Анализ сэмпла, предоставленного Malwarebytes ИБ-исследователем, известным в Twitter как @TheWack0lian, показал, что данный зловред устанавливается на Windows без особых проблем и активируется лишь после перезагрузки системы. После запуска он блокирует рабочий стол, выводя поверх него поддельный экран установки обновлений Windows. По свидетельству экспертов, эта фальшивка очень похожа на оригинал, и рядовой пользователь вряд ли заметит подмену.

Спустя некоторое время зловред демонстрирует другой экран, сообщающий жертве, что срок лицензии на использование данной копии ОС якобы истек, посему для продолжения установки обновлений ей нужно ввести действующий лицензионный ключ. Ниже поля для ввода приведен некий телефон службы техподдержки. Для пущего правдоподобия в этом сообщении также указаны забракованный ключ установки и имя компьютера, которые зловред с успехом отыскивает в зараженной системе.

Исследователи позвонили по указанному мошенниками телефону и после долгих переговоров выяснили, что собеседник может устранить проблему, подключившись к компьютеру через TeamViewer (его инсталлятор оказался встроенным в код блокировщика), но это будет стоить $250.

Тот же @TheWack0lian нашел способ деактивации зловреда: удержанием Ctrl+Shift и нажатием клавиши S. Исследователи также обнаружили три варианта «ключа продукта», вшитые в код: h7c9-7c67-jb, g6r-qrp6-h2, yt-mq-6w. Malwarebytes предлагает эту альтернативу с оговоркой: найденные ключи могут не подойти для других вариаций блокировщика.

Как оказалось, злоумышленники уже активно рекламируют зловредов, заточенных под схему «техподдержки», на Facebook и распространяют их через партнерские PPI-программы (pay per install, с оплатой за каждую установку). Эти блокеры могут быть замаскированы под легитимную программу Windows — например, оптимизатор ПК или обновление для Flash Player.

«Безусловно, это тревожный тренд, так как избавиться от этих Windows-блокеров не столь просто, как от поддельных (но в большинстве своем безобидных) предупреждений в браузере, а если зловреда не удалишь, пользоваться компьютером невозможно», — предупреждают исследователи.

Категории: Аналитика, Вредоносные программы, Мошенничество