17 kwietnia 2017

Doctor Web opublikował już artykuł o „pewnych” zakładach bukmacherskich w sieci, popularnej formie internetowych oszustw. Jednak technologia używana przez cyberprzestępców ciągle ewoluuje: teraz udało im się zaimplementować w swoich oszukańczych schematach specjalny program mający na celu naciąganie użytkowników Internetu.

Tradycyjne podejście do “sprawy” wykazywane przez cyberprzestępców zajmujących się internetowym „wspomaganiem” zakładów sportowych jest dość proste: tworzą oni specjalną stronę www oferującą na sprzedaż “pewne i zweryfikowane informacje na temat wyników wydarzeń sportowych”. Osoby które dokonają zakupu będą mogły później użyć tych informacji i z wysokim prawdopodobieństwem wygrać swoje zakłady złożone w realnych punktach bukmacherskich. Twórcy tych stron www przedstawiają się jako emerytowani trenerzy i analitycy sportowi. W rzeczywistości, gdy jedna część płacących klientów uzyskuje jedną prognozę, to druga ich grupa dostaje zupełnie coś przeciwnego i gdy jedne z ofiar zgłaszają się z reklamacjami, cyberprzestępcy oferują im kolejną prognozę za darmo, jako kompensatę poniesionych strat.

Ostatnio cyberprzestępcy poczynili kilka zmian w tym schemacie. Nadal tworzą strony www aby przyciągnąć klientów i publiczne profile w sieciach społecznościowych, ale jako sposób na potwierdzenie jakości swoich usług polecają swoim klientom pobranie chronionych hasłem, samorozpakowujących się archiwów RAR rzekomo zawierających pliki tekstowe ukazujące wynik danego wydarzenia sportowego. Cyberprzestępcy wysyłają hasło do danego archiwum dopiero po zakończeniu odnoszącego się do niego meczu. Ma to na celu umożliwienie użytkownikom porównania przewidzianego wyniku z prawdziwym rezultatem rozgrywki.

Zamiast archiwum cyberprzestępcy wysyłają swoim ofiarom swój własny program, który w pełni imituje interfejs i zachowanie się archiwum SFX stworzonego z użyciem programu WinRAR. Ten program został dodany do baz wirusów Dr.Web pod nazwą Trojan.Fraudster.2986. Jest on nie tylko niemożliwy do odróżnienia od zwykłego archiwum RAR SFX, ale również zachowuje się w ten sam sposób gdy użytkownik wprowadzi nieprawidłowe hasło i dokona innych działań.

To fałszywe “archiwum” zawiera szablon pliku tekstowego który, z pomocą specjalnego algorytmu, wstawia żądane wyniki rozgrywek w zależności od tego, jakie hasło zostanie wprowadzone przez użytkownika. Tym samym, gdy mecz zakończy się, jedyną rzeczą którą cyberprzestępcy muszą zrobić, jest wysłanie swojej ofierze odpowiedniego hasła, a plik tekstowy z prawidłowym wynikiem zostanie “wypakowany” z “archiwum” (w rzeczywistości trojan wygeneruje go na podstawie posiadanego szablonu).

Istnieje również alternatywna wersja tego fałszywego schematu — cyberprzestępcy wysyłają swojej ofierze chroniony hasłem plik Microsoft Excel zawierający specjalne makro. To makro używa tej samej metody wstawiania wymaganych wyników, w zależności od tego jakie hasło zostanie wprowadzone.

Doctor Web przypomina użytkownikom, że te wszystkie przewidywania wyników różnorodnych rozgrywek są jednym z rodzajów oszustw stosowanych przez cyberprzestępców i że każdy użytkownik może stać się ich ofiarą. Nie ufaj stronom www oferującym szanse zbicia fortuny dzięki użyciu poufnych informacji podczas zawierania zakładów, nawet jeśli obiecanki cyberprzestępców wyglądają bardzo przekonywująco.

Więcej na temat tego trojana