賽門鐵克揭示一鍵點擊式詐欺攻擊擴展至中文使用者

【2015年5月21日 台北訊】一鍵點擊式欺詐並不是新的詐騙手段。 在日本,這種欺詐手段已經存在了十多年,犯罪分子會引誘受害者點擊某些極具誘惑力的提議,強迫他們註冊某些與色情內容有關的服務。 過去,一鍵點擊式欺詐手段主要針對日語使用者。 最近,賽門鐵克公司發現,一鍵點擊式欺詐分子已經開始進行多語言運作,擴展其攻擊目標範圍,除了常見的日語使用者,他們已經開始針對中文使用者。

在這種詐欺行為中,使用者只要點擊一次,就有可能被感染上惡意軟體。 當被感染後,使用者將會不斷收到令人討厭,甚至令人尷尬的快顯視窗,直到他們向推送的服務繳納註冊費用。 近期,該種類欺詐手段還通過引誘智慧手機使用者在設備上訂閱成人網路頻道來入侵或鎖定瀏覽器。

賽門鐵克發現,這類詐欺活動現在主要針對香港使用者,通過中文快顯視窗和註冊頁面,要求受害者支付港幣。 僅在最近一個月內,賽門鐵克鎖定了超過8,000多個類似案例,可使犯罪分子獲利4,000萬港幣, 接近1億6千8百萬台幣。

一鍵點擊式攻擊如何運作?

這類欺詐活動首先欺騙使用者下載並運行看似無害的HTML應用(HTA)檔。 當使用者訪問一個看似合法,但其中如果包含網路頻道播放器或年齡驗證檢查程式視窗的成人網站時,就可能遇到該攻擊。

當使用者點擊偽造的網路頻道播放器時,一個HTA檔會被下載到電腦中,接著電腦將會顯示一個對話方塊,要求使用者批准執行。

一旦使用者批准HTA檔執行, 網路頻道播放器將會在後臺播放。 與此同時,HTA檔內的惡意腳本會開始執行,該檔將會建立以下登錄機碼,使使用者的電腦桌面不停地快顯視窗:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\”webutcry” = “mshta “%AllUsersProfile%\Application Data\utcry\2VMM509W.hta””

快顯視窗會要求使用者付費註冊一個成人網站,如果使用者支付,系統會通知使用者快顯視窗已被刪除。 此外,快顯視窗還具有一個計時器,顯示該費用報價到期的倒計時。

值得注意的是,由於HTA檔需要mshta.exe引擎來運行代碼,而該代碼僅可在Internet Explorer中使用,所以該威脅僅可對Internet Explorer瀏覽器發動攻擊。 但是,需要考慮的是,由於HTA檔可以作為完全受信任的應用運行,不受任何沙箱限制,所以HTA檔比HTML檔擁有更高的許可權,這讓攻擊者可以隨意入侵受害者的電腦。 mshta.exe引擎還擁有寫入檔以及添加和刪除登錄機碼的許可權。 除此之外,HTA檔內的惡意腳本非常模糊,但在運行時將會變清晰。

多語言一鍵點擊式詐欺

一鍵點擊式詐欺在日本已經存在了十多年。 網路罪犯僅僅攻擊一個國家所獲得的利潤和目標受眾都會受到限制,受害者最終會認識和瞭解該欺詐行為,並不再上當。 詐騙分子意識到了這一點,並開始使用不同語言,以擴大其攻擊範圍。 鑒於犯罪分子能夠相對輕鬆地對詐騙內容進行當地語系化處理,我們可能會看到更多其他語言和在不同地區的一鍵點擊式攻擊。

保護措施

賽門鐵克建議使用者不要從未知來源處下載和運行HTA檔。 已經受到感染的使用者可以刪除由腳本導入的登錄機碼和全部檔來刪除快顯視窗。

賽門鐵克保護

賽門鐵克和諾頓通過以下檢測來保護使用者不受該攻擊的威脅:

入侵防禦

Web攻擊:社交工程一鍵點擊詐騙 4

HTTP社交工程一鍵點擊詐騙(特定)

Web攻擊:社交工程一鍵點擊詐騙 3

Web攻擊:社交工程一鍵點擊詐騙 2

防病毒

Trojan.Malscript