Nowe pomysły przestępców na wyłudzanie SMSów premium

dodał 28 marca 2017 o 06:47 w kategorii Socjo, Złośniki  z tagami:
Nowe pomysły przestępców na wyłudzanie SMSów premium

Nie wątpimy, że wszelakiej maści „konkursy” na Facebooku nadal cieszą się ogromnym powodzeniem, jednak przestępcy nadal szukają alternatywnych sposobów wyłudzania SMSów premium. Poniżej opiszemy jedną z ciekawszych sztuczek.

Jeśli się zastanawiacie, kto daje się nabrać na „konkursy” typu „słynna osoba rozdaje samochody warte milion złotych każdy”, by następnie wysłać dwa SMSy po 30 PLN każdy w celu pobrania z sieci rzekomego „formularza odbioru nagrody”, to rozejrzyjcie się dookoła i na pewno kogoś zobaczycie. W najlepszych akcjach tego typu SMSy wysyła nawet kilka tysięcy osób w ciągu paru godzin, a codziennie takich „konkursów” jest kilkanaście. Najsprytniejsi spamerzy potrafią zarabiać nawet ponad 100 tysięcy złotych miesięcznie na naiwności Waszych znajomych. Nie wszyscy jednak korzystają z motywu „konkursowego” – dlatego pokażemy dzisiaj inny sposób wyłudzania SMSów.

A może aktywator

Kilka dni temu odezwał się nas pewien czytelnik, który podesłał ciekawą informację (dzięki!). Czytelnik znalazł w sieci program udający aktywator systemu Windows, przeanalizował jego kod źródłowy i ustalił, że służy do wyłudzania SMSów premium. Czas zatem przyjrzeć się temu oszustwu.

Rozpieszczeni firmowymi licencjami nie sądziliśmy, że aktywatory Windows są nadal tak popularne. Okazuje się, że są także popularnym narzędziem przestępców. Czytelnik natrafił na komentarz w serwisie Youtube, pod filmem promującym jedną z metod aktywowania Windowsa. Komentarz wyglądał tak:

Idąc za wskazówkami czytelnika pobraliśmy wspomniany plik z serwisu Chomikuj.pl i wgraliśmy go do narzędzia dotPeek by zobaczyć jego kod. Program najpierw udaje, że pobiera z internetu tajemnicze „paczki”, zapewne by pokazać, że robi coś bardzo ważnego.

Krótko potem wyświetla zawartość pewnej witryny.

Witryna ta już wprost służy do wyłudzania SMSów premium.

Oczywiście nie ma żadnego aktywatora, jest tylko opłata za wysłanie SMSa premium w kwocie 30,75 PLN brutto. Wyszukiwanie w sieci numeru 92590 oraz tekstu „ag wejdz” nie zostawia wątpliwości – ten zestaw służy głównie do wyłudzania pieniędzy pod różnymi pretekstami. Kto może stać za tym konkretnym oszustwem?

Zacznijmy od Youtube. Komentarz wysłało konto „Aktywator Windows”, które dwa tygodnie temu wrzuciło swój własny film z „aktywatorem Windows”. Temu filmowi towarzyszy URL

Na filmie możemy także znaleźć login użytkownika, który testuje rzekomy „aktywator”:

Niestety jest to tylko login ze świeżo przygotowanego systemu, zatem pewnie nie zaprowadzi nas daleko. Coś ciekawszego znajdziemy w kodzie programu – jest to ścieżka z komputera autora:

Niestety ten pseudonim także wydaje się dość popularny, zatem nie wystarczy by zlokalizować autora. Konto na Chomikuj.pl nazywa się „Programy-2017”, zatem też jest raczej ślepym tropem.  Co ciekawe, konto pochodzi z lutego tego roku, zatem oszustwo trwa już jakiś czas. Domenę aktywator-windows-7.pl promuje z kolei konto DaVoltDocta (inne powiązane konta to m. in. DaPowDocta, MakeDoctaVoice, DaDoctaVosk, xWeronika97x):

które w podobny sposób promuje następujące linki:

Każdy z tych linków przekierowuje do kolejnego oszustwa w postaci wyłudzenia kodów SMS, choć tym razem pod inną domeną:

Trafiliśmy także na inny link:

który z kolei prowadzi do serwisu:

gdzie możemy znaleźć także inne „pełne wersje”. Wszystkie prowadzą do podobnych plików EXE, zawierających znaną nam już ścieżkę:

Co ciekawe, wszystkie te pliki umieszczone są na tym samym koncie Dropboksa, pod pseudonimem „Paweł Mróz”:

Te pliki EXE zachowują się podobnie do poprzednio opisywanych. Są także napisane w .NET (Visual Basic.NET) i udają instalatory pirackich wersji popularnych gier. Ich działanie przebiega następująco:

  • aplikacja sprawdza czy istnieje katalog C:\\Windows\\update-mok i jeśli go nie ma to go tworzy
  • pobiera plik exe z adresu https://www.dropbox.com/s/duijw9u0m4mj4hq/exe.exe?dl=1 i zapisuje go jako C:\\Windows\\update-mok\\megamax.exe i uruchamia widok “instalatora gry” (np. Sims 4)
  • w okienku wyświetla się grafika (np. z adresu https://abload.de/img/ts4_719_sp08_screens_8vaxy.jpg)
  • program sprawdza czy istnieje plik c:\GameDATA7.rar i jeśli istnieje to go kasuje
  • tworzy klucz rejestru HKCU\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\ z zawartością “Instalator”, “C:\\Windows\\update-mok\\megamax.exe
  • po naciśnięciu przycisku aplikacja udaje że pobiera plik instalacyjny gry a tak naprawdę pobiera plik testowy z serwera OVH o objętości 10Gb (http://ovh.net/files/10Gio.dat) i zapisuje go jako C:\\dim.exe
  • po zakończeniu pobierania pliku otwiera stronę https://wpisz-to.pl/57e75992 gdzie nakłania do wysłania wiadomości SMS
  • jeśli użytkownik wykonuje polecenie to zostaje przekierowany na kolejną stronę gdzie może stracić kolejne środki: https://za-rejestruj.pl/cca540f0
  • aplikacja kończy swoje działanie.

Tymczasem pobierany plik EXE:

  • po uruchomieniu (uruchamiany przy starcie systemu), używając komponentu przeglądarki (WebBrowser)  próbuje nawiązać połączenie ze stroną http://bit.ly/2mt8LH8
  • ta witryna przekierowuje na adres http://rebrand.ly/wikip79e1, który z kolei przekierowuje na https://en.wikipedia.org/wiki/Main_Page
  • jeśli ostatnie przekierowanie prowadzi na https://en.wikipedia.org/wiki/Main_Page, program otwiera przeglądarkę na stronie https://rebrand.ly/fires724b
  • obecnie ten adres przekierowuje na Youtube.com
  • jeśli http://bit.ly/2mt8LH8 nie przekierowuje na Wikipedię, to aplikacja kończy swoje działanie.

Prawdopodobnie przekierowania pełnią rolę rodzaju „licznika” – serwis bit.ly zlicza liczbę odwiedzin. W momencie naszej analizy licznik pokazywał, że tylko w poniedziałek plik był uruchomiony ponad 100 razy.

Podsumowanie

Niestety mimo iż zapędziliśmy się dosyć daleko i głęboko, to nie trafiliśmy na tożsamość autora tych ataków. Używane domeny mają ukryte dane właściciela, hosting przechowuje witryny wielu firm, a odkryte pseudonimy trudno z kimś powiązać. Może Wy będziecie mieli więcej szczęścia lub talentu. Widać jednak, że mamy do czynienia z wyjątkowo pracowitym przestępcą – liczba różnych opublikowanych przez niego programów, cracków, spolszczeń i innych oszustw idzie w setki. Sposób oszustwa też nie jest głupi – kto zgłosi na policję, że pobrał z sieci pirackiego Windowsa czy grę i został oszukany…

Aktualizacja 2017-03-28 10:00:

Inni oszuści zajmujący się wyłudzeniami SMS tak komentują nasz artykuł:

Pozostali zastanawiają się, skąd bierzemy nasze zrzuty ekranu…

Aktualizacja 2017-03-28 13:00:

Oszust usunął film z Youtube oraz pliki z Dropboksa, zmienił tez formułę pobierania opłaty z wysyłania SMSa na zapisywanie się na subskrypcję SMS. Hosting zablokował jego domeny. Pozostaje  się cieszyć, że chociaż tyle udało się osiągnąć. Kolejni czekają.

PS. Dziękujemy informatorowi, który chciał pozostać anonimowy, za prawdopodobne dane oszusta i kilku jego kolegów.