Attenzione ai truffatori dell'assistenza

L'abbiamo già sentito: un chiamante dall'India cerca di convincervi che il vostro computer è rotto e che dovete installare un software. Questa truffa non è una novità, ma questa forma di Ingegneria sociale è rovente.

Una forma di truffa dell'assistenza tecnica che Microsoft non evidenzia esplicitamente nella sua analisi è l'attacco con il ransomware Screenlocker. In questo caso, gli utenti del computer non ricevono una telefonata o un'e-mail, ma il loro accesso al computer viene bloccato dai Trojan di estorsione. Le vittime dovrebbero ora chiamare un presunto numero telefonico di Microsoft per rinnovare la licenza del loro PC, presumibilmente scaduta. Gli esperti di G Dati hanno esaminato più da vicino questo tipo di frode:

La truffa dello Screenlocker Ransomware

Il file dannoso si presenta sempre come un presunto programma di installazione di un prodotto, ad esempio come VMC Media Player o simili. Tuttavia, il programma pubblicizzato non è affatto contenuto in questo programma di installazione! La famiglia di malware oggetto dell'indagine utilizza Smart Install Maker per generare il programma di installazione. La seguente analisi di G Data si basa sul seguente file, che si presenta come "Free Download Manager": SHA256: c72fb6e95375900999d14cd10541021a4db0a9065e387ed6b45266d80bb18d55

Questo programma di installazione rilascia un file .bat e un file .exe dopo l'esecuzione (a seconda della variante, questi hanno nomi diversi). Il file .exe è inserito come avvio automatico, sia in Winlogon Shell che nella consueta voce di avvio automatico: SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Il file .bat

Il file .bat contiene un codice batch che riavvia il computer dopo un certo lasso di tempo.

Il file .exe

Questo è il codice dannoso vero e proprio, lo screenlocker. Il file assembly .NET nel nostro caso di studio si chiama fatalerror.exe e richiede .NET 2.0 per essere eseguito.

G Data scrive di aver visto altri campioni che necessitano di .NET 4.6 per funzionare. Se questi file si imbattono in Windows XP (dove la versione non può essere installata) o in un sistema con una versione di .NET inferiore, il riavvio eseguito risulta in una schermata vuota che mostra solo l'immagine di sfondo di Windows e il cursore del mouse.

Tuttavia, in entrambi i casi non è possibile accedere o avviare Windows Explorer.

Le persone interessate ottengono una schermata di blocco con il design di Windows 10. Se non utilizzate Windows 10, potreste notare che qualcosa non va a questo punto, come scrive G-Data.

Conclusione

Le truffe dell'assistenza tecnica non sono un fenomeno nuovo. In nessun caso riceverete una telefonata sincera da Microsoft o dai suoi partner che vi chiederà di pagare per la riparazione del computer.

La crescente comparsa di ransomware screenlocker ha rappresentato un ulteriore sviluppo in questo contesto e può turbare ulteriormente gli utenti. Tanto più che il truffatore non segnala i presunti problemi del computer, ma blocca attivamente l'accesso al dispositivo. Ignorare i falsi avvertimenti è quindi purtroppo fuori discussione.

Suggerimenti e trucchi

• Tenete presente che la designazione "Partner Microsoft" non indica che una persona sia particolarmente affidabile. L'impegno per la registrazione come partner ufficiale Microsoft è relativamente basso.
• Non date a un addetto all'assistenza l'accesso remoto al vostro dispositivo a meno che non siate assolutamente sicuri che stia fornendo un servizio legittimo e che abbiate dato loro le istruzioni per farlo.
• Resistete alla curiosità e non lasciatevi attirare da presunti addetti all'assistenza verso siti web con informazioni importanti. Questi siti web potrebbero essere appositamente preparati per infettare i visitatori con malware o phish.
• Rifiutate l'assistenza telefonica o tramite sito web se vi vengono addebitate spese impreviste. Non fornite i dati di pagamento (ad esempio, i dati della carta di credito) o altri dati personali.
• Naturalmente: non date mai le password ad altre persone!

Fonte: G Data