Onderzoekers van anti-virusbedrijf Sunbelt hebben een nieuwe social engineering aanval ontdekt, waardoor het lijkt alsof Microsoft nep-virusscanners aanbiedt. Om slachtoffers voor DefenceLab te laten betalen, stuurt deze scareware gebruikers door naar een echte pagina op Microsoft.com. De scareware injecteert in real-time HTML code in de lokaal weergegeven pagina, waardoor het lijkt alsof Microsoft het aanschaffen van DefenceLab suggereert. Volgens Roger Thompson van AVG is het een behoorlijk goede truc waar een hoop mensen in zullen trappen.
De virusbestrijder waarschuwt dat Microsoft’s website ook op een andere manier wordt gebruikt. In het geval van de Antivirus System PRO scareware, wordt het HOSTS bestand gewijzigd, zodat alle verzoeken voor Microsoft.com op een pagina terechtkomen waar men de nep-virusscanner kan kopen. Minder verfijnd dan de aanval die Sunbelt ontdekte, maar beide aanvallen laten zien hoe sluw de ‘bad guys’ zijn, aldus Thompson. “Wie had gedacht dat ze in real-time HTML aanpassen en dat ze met URLs zoals Microsoft.com rotzooien, maar ze doen het.”
Bron: http://www.security.nl
OVIS security Blog 