A rosszindulatú programok terjesztése a legális szoftverfrissítések leple alatt egyáltalán nem új módszer. Általában a kiberbűnözők a potenciális áldozatokat felkérik egy böngésző vagy az Adobe Flash Player új verziójának telepítésére, így rábírva a felhasználókat, hogy feltelepítsék az ártalmas kódokat.
Nemrégiben azonban a Kaspersky szakemberei felfedeztek egy új változatot: a fertőzött webhelyek, honlapok látogatóit értesítik arról, hogy valamilyen biztonsági tanúsítvány lejárt. Ebben az esetben épp maga az új biztonsági engedély a trójai.
A böngésző nem szól
A gyakorlatban a riasztó értesítés egy iframe kódból áll - vagyis olyan, mintha egy beágyazott panel, videó lenne, ezért a böngésző automatikusan nem gyanakszik támadásra.
Ezzel a módszerrel az URL-sávban továbbra is egy pontos honlapcím szerepel, nem irányítja máshová a felhasználót, ami miatt még a közepesen óvatos emberek is megtéveszthetők. Valójában viszont a beágyazás egy külső címről tölti le az ártalmas kódot.
Elbújnak a kártevők
A módszer mögé viszont változatos vírusokat bújtattak: letöltődhet így az Exploit.Win32.ShellCode.gen, vagy a Backdoor.Win32.Mokes is. A hatás lehet adatlopás, de akár a számítógépet lassító kriptovaluta-bányász kód is. A csalással megszerezhetik a felhasználók jelszavait, vagy egyéb a böngészőben tárolt adatokat is, például bankkártya-hozzáféréseket.
Akár számítógépen, vagy okostelefonokon is működhet a csalás. Utóbbi rossz hír, mert Androidra újabban egyre több leleményes trójai érkezik, ami árthat akár az akkumulátor-üzemidejének is.