Репортеры BleepingComputer выявили новую схему мошенничества, которая подразумевает распространение скамерами приложения Event Monitor. Данная программа постоянно осуществляет мониторинг журнала событий Windows и каждый раз при некорректном завершении работы какого-либо приложения создает всплывающие окна с предупреждением.
В сообщении, которое предупреждает о проблемах с компьютером, указан телефонный номер службы технической поддержки, по которому авторы предлагают пользователю позвонить. Позвонив по этому номеру, владелец устройства связывается с кибермошенниками, которые будут убеждать жертву в том, что он должен приобрести различные приложения и услуги.
Распространение Event Monitor осуществляется в рамках различных наборов программного обеспечения. Приложение пользуется цифровым сертификатом индийской компании Super Tuneup Technologies LLP. После инсталляции Event Monitor в планировщике Windows появляется новая задача RunAtStartup, запускающая процесс em.exe. Затем программа выходит на связь с удаленным сервером и осуществляет загрузку конфигурационного файла в папку AppData\Roaming\Event Monitor\update.ini. В данном файле содержится ряд региональных номеров телефонов, которые отображаются в зависимости от страны, где проживает жертва, а также сведения о текущей версии приложения и ссылка на новейшую сборку.
Сейчас мошенники атакуют американских, немецких, французских и японских пользователей, но в будущем киберкампания может быть расширена на другие государства.