• <tr id='y3tu3E'><strong id='y3tu3E'></strong><small id='y3tu3E'></small><button id='y3tu3E'></button><li id='y3tu3E'><noscript id='y3tu3E'><big id='y3tu3E'></big><dt id='y3tu3E'></dt></noscript></li></tr><ol id='y3tu3E'><option id='y3tu3E'><table id='y3tu3E'><blockquote id='y3tu3E'><tbody id='y3tu3E'></tbody></blockquote></table></option></ol><u id='y3tu3E'></u><kbd id='y3tu3E'><kbd id='y3tu3E'></kbd></kbd>

    <code id='y3tu3E'><strong id='y3tu3E'></strong></code>

    <fieldset id='y3tu3E'></fieldset>
          <span id='y3tu3E'></span>

              <ins id='y3tu3E'></ins>
              <acronym id='y3tu3E'><em id='y3tu3E'></em><td id='y3tu3E'><div id='y3tu3E'></div></td></acronym><address id='y3tu3E'><big id='y3tu3E'><big id='y3tu3E'></big><legend id='y3tu3E'></legend></big></address>

              <i id='y3tu3E'><div id='y3tu3E'><ins id='y3tu3E'></ins></div></i>
              <i id='y3tu3E'></i>
            1. <dl id='y3tu3E'></dl>
              1. <blockquote id='y3tu3E'><q id='y3tu3E'><noscript id='y3tu3E'></noscript><dt id='y3tu3E'></dt></q></blockquote><noframes id='y3tu3E'><i id='y3tu3E'></i>
                Top
                首页 > 网络和信息安全 > 黑客攻防 > 正文

                安全公告:一键点击式欺诈攻击扩展至中文目标人群

                一键点击式欺诈并不是新的诈骗手段。在日本,这种欺诈手段已经存在了十多年,犯罪分子会引诱受害者点击某些极具诱惑力的提议,强迫他们注册某些通常与色情内容有关的服务
                发布时间:2015-05-22 10:38        来源:澳门老虎机娱乐游戏网        作者:

                一键点击式欺诈并不是新的诈骗手段。在日本,这种欺诈手段已经存在了十多年,犯罪分子会引诱受害者点击某些极具诱惑力的提议,强迫他们注册某些通常与色情内容有关的服务。过去,一键点击式欺诈手段主要针对日语用户。最近,赛门铁克公∞司发现,一键点击式欺诈分子已经开始进行多语言◎运作,扩展其攻击目标范围,除了常见的日语用户,他们已经开始针对中文目标人群。

                在这种欺诈◆行为中,用户只要点击一次,就有可能被感染上恶意软件。当被居然见鬼似感染后,用户将※会不断收到令人讨厌,甚至令人尴尬的弹出窗口,直到他◤们向推送的服务缴纳注册费用。近期,该类欺诈还通过引诱智能手机用户在设备上订阅成人视频来入侵或锁定浏览器。

                赛门铁克发现,这类欺诈澳门老虎机平台网址现在主要针对█香港用户,通过中卐文弹出窗口和注册页面,要求受害者支付港币。仅在最近一个月内,赛门铁克锁△定了超过8,000多个类似案∑ 例,可使犯罪分子ㄨ获利4,000万港币,相当于500万美元。

                一键点击式攻击如何运作?

                这类欺诈澳门老虎机平台网址首先欺骗用户下载并运行看似无害的HTML应用(HTA)文件。当用户访问←一个看似合法,但其中包含视频播△放器或年龄验证检查程腿序窗口的成人网站时,就可能遇到该攻击。

                图1:成人网站上看似合铁补天才做出决断法的视频播放器

                当用户点击伪造的视频播放器时,一个HTA文件会被下→载到电脑中,接着电脑将会显示一个对话框,要求用户批准其运行。

                图2:下载的HTA文ζ 件将会显示一个对话框,要求用户批准其运行

                一¤旦用户批准HTA文件运行,视频将会在后台播放。与此同时,HTA文件内的恶意脚本会开始运行,该文件将会创建以下注册表项,使用户的电脑桌面不停地√弹出窗口∴:

                •HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\”webutcry” = "mshta "%AllUsersProfile%\Application Data\utcry\2VMM509W.hta""

                弹出窗口会要求用户付费注册一个成人网站,如果用户支♀付,系统会通知用户弹出窗口已被删除。此外,弹出窗口还具有一【个计时器,显示该费用报价到期的倒计时。

                图3:弹出窗口(某些内容会用祥光的第◥二官方语言-英语显示)

                这种行为与勒索软件非常相似,欺诈分子通过入侵用户的电脑来索要费用。即使用户重启电脑,弹出窗■口并不会消失。

                图4:同时显示繁体※中文和英文的支付条款

                该威胁可创∮建不同的注册表项,例如本文之前提到的注册表项,可参考其下载这个混蛋竟敢打我和存储在本地的弹出图片和▆其他数据的URL。

                图5:索要5,000港币(650美元)的注㊣册页面

                值得注■意的是,由于HTA文件需要mshta.exe引擎来运行代码,而该代码仅可在Internet Explorer中使用,所以该威胁仅可】对Internet Explorer浏览器发动攻击①。但是,需要考虑的是,由于HTA文件可以作为完全受信任的应用运行,不受任何沙盒限制,所以HTA文件比HTML文件拥有更高的权限,这让攻击者可以随意入侵受害者的电脑。mshta.exe引擎还拥有写入文件以⊙及添加和删除注册表项若是给我重来一次的权限。除此之外,HTA文件内的恶意脚本非常模糊,但在运行时将会远扬千里变清晰。

                图6:HTA 文件内的模〗糊脚本

                恶意脚本还可创建用于制造不停弹出窗口的注』册表项。

                图7:负责添加注册表的去模糊脚本

                该脚本︾还会创建两个ActiveX对象,用于查看用户是否曾经受过此类欺诈活@ 动的攻击,并启动不停弹出窗口的进程。

                图8:创建两个ActiveX对象的脚本

                多语言一键点击式欺诈

                一键点◣击式欺诈在日本已经存在了十多年。网络罪犯仅仅攻击一个国家所获得的利润和〓目标受众都会受到限制,受害者最终会认识和了解该欺诈行为,并不再上当。诈骗分子意识到了这█一点,并开始使用不同语≡言,以扩大其攻击范围。鉴于犯罪分子能够相对轻松地对诈骗内容进行本地化处理,我们可能会看到更多其他语言和语气中却有对李冰清在不同地区的一键点击式攻击。

                保护措施

                赛门铁克建议用户不要从未知▲来源处下载和运行HTA文件。已经受到感染的用户浊世ぜ佳公子可以删除由脚本导入的注册表项和全部文件来删除弹出窗口。


                 

                专题访谈

                合作站点
                stat