Nom001.site

O domínio Nom001.site está associado a uma tática de suporte técnico que foi relatada em 24 de novembro de 2017. Uma investigação sobre o perfil de rede do Nom001.site revelou que o site possui muitos clones, tais como o Nom002.site, o Nom003.site, o Nom004.site e outros. Muitas das páginas relacionadas à tática de suporte técnico do Nom001.site parecem estar registradas no endereços de IP 104.18.44.99 e 104.18.44.99. A lista de IPs e o conteúdo vinculado ao Nom001.site incluem mais do que endereços, até onde estamos cientes, mas as pessoas que usam o site podem ter acesso a mais páginas do que sabemos. O domínio Nom001.site hospeda uma página especialmente criada que possui animações do Flash, que se assemelham a notificações de carregamento de programas AV. As notificações do Nom001.site são geradas através de um loop pop-up e impedem os usuários de sairem do Nom001.site. Depois de abrir o Nom001.site, os usuário de PC vão ver o seguinte texto:

'Aviso: O seu Windows está infectado. Vírus encontrado!
0 minutos e 21 segundos
O seu dispositivo Windows foi infectado pelo mais recente malware ainda sem solução. Esse vírus é altamente perigoso e pode
causar graves danos à sua máquina.
REMOÇÃO IMEDIATA REQUERIDA PARA EVITAR DANOS PERMANENTES.
* Esta ferramenta é gratuita para download
[Baixar e reparar|BOTÃO]'

Uma segunda mensagem é gerada na tela logo após o carregamento do Nom001.site, que diz:

'ATENÇÃO!

O último site que você visitou infectou o seu computador com um vírus.
Clique em OK para iniciar o processo de reparo.
** Se você sair deste site, seu computador permanecerá danificado e vulnerável **
[BOTÃO|OK]'

Não acredite nas mensagens do Nom001.site e evite o download de programas promovidos através de janelas pop-up que dizem 'AVISO!' e 'O Seu Computador está Infectado.' Os criadores da ameaças procuram enganar os usuários para que eles carreguem um cliente de desktop remoto em suas máquinas e liguem para um falso suporte técnico. Descobrimos que o Nom001.site e muitos dos seus clones foram projetados para redirecionar o tráfego da Web por meio de portais como o h[tt]p://oomiz.voluumtrk[.]com/click para páginas de phishing e sites comprometidos. Aparentemente, os vigaristas usam as ferramentas de análise do Voluum[.]com para operar a sua horda de portais de redirecionamento. As estatísticas mostram que os relés utilizados na tática de suporte técnico do Nom001.site usam URLs que são feitos seguindo o padrão:

h[tt]p://[five random chars].voluumtrk[.]com/[unique string]={clickid}&aff_sub2={clickid}&cid={clickid}&sub_id2={clickid}&sub_id={clickid}&sub_id1={clickid}

As empresas de AV e os fornecedores de navegador estão trabalhando 24 horas por dia, 7 dias por semana, para bloquear o acesso a páginas corrompidas e recursos inseguros utilizados em campanhas ilegais de suporte técnico. Os usuários da Web que possam ter tropeçado no Nom001.site devem fechar o navegador e denunciar o endereço ao fabricante do navegador. Os mecanismos AV bloqueiam conexões com domínios conhecidos de phishing e podem exibir alertas que apresentam os seguintes nomes de detecção:

• HTML/FakeAlert.MF
• JS:ScriptIP-inf [Trj]
• Suspicious_GEN.F47V1002
• Trojan.FakeAlert!8.56B (topis:teSV6BOzF2J)
• Trojan.HTML.FakeAlert