Intuit’in muhasebe yazılımı QuickBooks, Hindistan merkezli dolandırıcılar için popüler bir hedeftir ve yalnızca klasik Microsoft teknik destek dolandırıcılıklarıyla en üst sıralarda yer almak için rekabet etmektedir.
Her ikisi de Google reklamları yoluyla iki ana cazibe gördük: Birincisi, QuickBooks için çevrimiçi desteği tanıtan ve bir telefon numarası gösteren bir web sitesi; ikincisi ise kurbanların, aynı zamanda bir açılır pencere oluşturacak bir programı indirip yüklemelerini gerektiriyor. bir telefon numarası. Her iki durumda da bu numara sahtedir.
Sahte QuickBooks açılır penceresi daha önce eSentire tarafından ayrıntılı olarak açıklanmış ve dolandırıcıların sahte uyarı mesajları oluşturarak yazılımın işlevselliğini nasıl ele geçirebildiklerini ortaya çıkarmıştı.
Yakın zamanda aktif bir kötü amaçlı reklam kampanyasıyla karşılaştık ve bu durum bu planın hala oldukça canlı ve iyi durumda olduğunu gösteriyor. Bu blog yazısında, programı kötü amaçlı bir reklamdan indiren QuickBooks kullanıcılarının, belirli aralıklarla oluşturulan bir açılır pencereyle nasıl karşılaşacaklarını, verilerinin bozuk olabileceği korkusunu aşılayarak yardım çağırmalarını inceliyoruz.
Sahte QuickBooks indirme
‘ ararkenhızlı kitaplar indir‘ Google’da sponsorlu bir sonucun en üstte göründüğünü görüyoruz. Bu reklam, kullanıcıların sözde QuickBooks’un en son sürümünü indirebilecekleri bir web sitesini tanıtıyor.
İşte resmi logonun ve hatta “Çözüm Sağlayıcı” onay mührünün yer aldığı web sitesi:
Kullanıcıları uyarabilecek şeylerden biri de indirme işleminin Dropbox’ta barındırılmasıdır:
https://www.dropbox.com/scl/fi/ybket868cp7nx5dhj11cu/QuickBooks_Installer.msi?rlkey=gp1t0siqr2j089vhgysn4nm33&st=4ajnlxze&dl=1
Form (zeform)
Bu yükleyici iki amaca hizmet eder: Biri gerçek QuickBooks programını Intuit’in web sitesinden indirmek, diğeri ise gizlice bir tür arka kapı yüklemektir.zeform.exe“. Bu basit ikili dosya, aşağıda görüldüğü gibi sahte bir hata mesajı oluşturabilecek şekilde QuickBooks ile entegre olacak şekilde tasarlanmıştır:
Bu tür bir hata, QuickBooks’a veri yüklemek için saatler harcayan ve bu açılır pencerenin, QuickBooks’un kendisinden geliyor gibi görünse de aslında tamamen uydurma olduğunun farkında olmayan kişiler için endişe verici olabilir.
Bunu oluşturan uygulama, açılır pencerenin ne zaman ve nasıl görüneceğini kontrol eden iki önemli yöntemi içeren, Microsoft .NET’te yazılmış bir programdır:
- MonitorAndShowForm(), hangi çağrılar Sonraki Görüntüleme Tarihini Hesapla ve hafta içi günlerde artırılır
- CheckTimeWindow() hafta içi bir gün olduğundan ve belirli bir zaman aralığında olduğundan emin olmak için
Muhtemelen antivirüs yazılımı tarafından algılanmayı önlemek için Base64’te kodlanmış metin içeriği (sahte talimatlar) da burada görülebilir:
Çözüm
Bu akıllı plan bir süredir devam ediyor ve ara sıra bazı kişilerin bunu çevrimiçi olarak, görünüşe göre her zaman Google reklamları aracılığıyla bildirdiğini görüyoruz.
Dolandırıcılar genellikle kurbanlarından bilgisayarlarına uzaktan erişebilecekleri bir program indirmelerini, böylece sorunu inceleyip düzeltebilmelerini ister. Bu her zaman tehlikelidir ve birisinin bilgisayarınıza erişmesine zaten izin verdiyseniz son derece dikkatli olmalısınız.
Dolandırıcılar, var olmayan sorunları çözmek için ödeme yapılmasını talep etmenin yanı sıra, onlara sürekli erişim ve hatta kullanıcıların şifrelerini çalma olanağı sağlayacak kötü amaçlı yazılımlar da yerleştirebilirler.
Teşekkür
Kötü amaçlı yürütülebilir dosyaya göz attığı için Elastic Security’den Joe Desimone’a ve sahte açılır pencere yürütülebilir dosyasını imzalamak için kullanılan Microsoft sertifikasını kontrol ettiği için Squillydoo’ya teşekkür ederiz.
Yalnızca tehditleri rapor etmiyoruz; onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.
Uzlaşma Göstergeleri
bizzgrowthinc[.]com
QuickBooks_Installer.msi
9e0b46194dc1c034422700b02c6aca01290d144735e48c4a83eea34773be5f52
zeform.exe
0c3f5f7bed8efbb6b1de3e804d22397a8bdf442b83962444970855fc9606c9f5