Исследователи Malwarebytes и AVG обнаружили гибридную малварь VindowsLocker, которая вобрала в себя черты сразу нескольких распространенных на сегодня угроз. Вымогательское ПО не только использует API Pastebin и шифрует данные, но также использует тактику фальшивой технической поддержки.
Основной отличительной чертой VindowsLocker является то, что зашифровав файлы пользователя, он не отправляет жертву в даркнет, оплачивать выкуп в биткоинах. Вместо этого малварь предлагает пользователю связаться со специалистом «технической поддержки» и уладить вопрос. При этом VindowsLocker пытается создать у жертвы ощущение легитимности происходящего.
Оператор колл-центра, с которым пострадавший связывается по указанному номеру, выдает себя за сотрудника Microsoft. Мошенник инициирует сеанс удаленного доступа к машине жертвы, открывает официальную страницу поддержки Microsoft, а затем быстро вставляет в адресную строку короткий URL, который открывает форму, размещенную на JotForm. Форма призвана собрать личные данные пользователя и узнать информацию о его банковской карте. Если жертва не замечает быстрой подмены, которую осуществил мошенник, она по-прежнему верит, что находится на сайте Microsoft.