Pozor na nový podvod šírený cez WhatsApp. Falošná ponuka kupónov obchodných reťazcov sa šíri medzi používateľmi

Medzi českými používateľmi WhatsApp sa šíri falošná správa ponúkajúca kupóny obchodných reťazcov.

Táto ponuka nepochádza od tohto obchodného reťazca a ide o podvodnú aktivitu. Po otvorení odkazu budete presmerovaní na útočníkovu URL hxxps://myprize.club/czhv.

Doteraz bola zaznamenaná kampaň zameraná na Albert a Tesco. Ako vyzerajú stránky útočníka a čo sa stane, keď budete nasledovať inštrukcie na obrazovke:

Čeština nie je úplne perfektná, čo je prvé znamenie, ktoré by malo používateľa varovať, že na tejto stránke je niečo zlé. Autor tejto podvodnej kampane sa snaží obozretnosť používateľov zmiasť tým, že ponuka je časovo obmedzená. Ak sa používateľ zameria na časomieru, ľahšie prehliadne nedokonalosti v preklade.

Propagáciu tejto kampane a lavínovité šírenie cez WhatsApp má na svedomí nasledujúci skript.

Ak prejdete všetky kroky, ktorými vás tieto podvodné stránky vedú, budete presmerovaní na ďalšiu podvodnú stránku, ktorá ponúka nástroj na opravu chýb v systéme.

Súbor, ktorý tu stiahnete, je digitálne podpísaný „spoločnosťou“ reImage Limited:

Teraz k samotnému programu, ktorý sľubuje opravu chýb vo vašom systéme. Ide o Nullsoft inštalátor. Inštalačný balík obsahuje sqlite3.exe a niekoľko inštalačných pluginov. Na čo všetko ich používa, zatiaľ čo na popredí sa tvári ako slušne vychovaná aplikácia?

Inštalačný skript nie je príliš zrozumiteľný pre bežných používateľov. Podvodná aplikácia zistí vášho poskytovateľa antivírusovej ochrany, firewallu, ohmatá si pár webových adries, systémových procesov, prečíta si vaše cookies a potom čulo komunikuje s adresou hxxp://www.reimageplus.com/events4mem.php, kam odovzdáva okrem iného informácie o tom, či váš súčasný používateľský účet má administrátorské práva. Na popredí aplikácia predstiera, že vykonáva niečo užitočné:

Tu je strojový preklad ešte horší ako na podvodnom webe. A čo sa stane po tom, ako predstierané skenovanie dobehne?

Áno, dalo sa to tušiť – ste požiadaní o platbu za odstránenie neexistujúcich chýb vo vašom systéme - dobre známa praktika z čias tzv. Fake antivírusu. Ak ste sa dostali až takto ďaleko, nič neplaťte!

Útočníkov server myprize.club zdieľa IP adresu s ďalšími podozrivými doménami:
myprize.biz
myprize.ca
myprize.co
myprize.com
myprize.dk
myprize.in
myprize.info
myprize.it
myprize.me
myprize.mobi
myprize.my
myprize.net
myprize.online
myprize.org
myprize.ru
myprize.se
myprize.tk
myprize.us
myprize.com.au
myprize.ru.com
myprize.co.in
myprize.com.my

Možno teda predpokladať, že útočník má v úmysle zamerať sa aj na iné regióny, ako je Česká republika. Používatelia, ktorí používajú náš detektor phishingu, boli pri pokuse o vstup na podvodné stránky obchodných reťazcov varovaní a chránení.

Zdroj: Blog.avast