Эксперты сообщили о новом способе блокировки браузера

Преступники, зарабатывающие на несуществующих проблемах пользователей, освоили новую технику, которая позволяет им скрытно встраивать поддельные системные уведомления на сайты. Вместо того чтобы обфусцировать код, злоумышленники догружают его через сторонние JavaScript-библиотеки. О находке сообщил специалист Malwarebytes Жером Сегура (Jérôme Segura).

Мошенничество с ложной поддержкой построено на запугивании пользователя якобы обнаруженными у него зловредами. Преступники выводят на экран жертвы текст-предупреждение и заманивают на свою страницу якобы для загрузки антивируса. В других случаях всплывающий баннер предлагает пользователю позвонить на горячую линию, после чего оператор подключается к компьютеру удаленно и сам устанавливает вредоносное ПО.

Чтобы подтолкнуть жертву к необходимым действиям, баннер может заблокировать браузер или помешать работе компьютера. Современные защитные системы распознают код таких уведомлений на интернет-страницах и блокируют их. Это заставляет злоумышленников идти на хитрость, скрывая его с помощью обфускации. Метод, обнаруженный Сегурой, позволяет перескочить этот этап.

Как пояснил аналитик, преступники спрятали код назойливого уведомления в сторонней JavaScript-библиотеке с зашифрованным содержимым. При загрузке страницы она скачивается с внешнего источника и сразу распаковывается, отображая вредоносный баннер. Таким образом, обнаружить его может только антивирусное ПО с функцией анализа JavaScript. Простой анализ HTML-кода не спасает от угрозы, поскольку в исходнике страницы нет чего-либо подозрительного.

Организаторы кампании также встроили в код поддельный идентификатор Google Analytics и использовали домен, похожий на Карты Google. По словам экспертов, таким образом преступники дразнят ИБ-специалистов. Эти меры также рассчитаны на то, чтобы рассеять возможные подозрения неподкованного пользователя, — на первый взгляд, скрипт обращается за легитимным содержимым.

Эксперты призывают не поддаваться на уловки мошенников и напоминают, что любое всплывающее уведомление можно просто закрыть. В самых тяжелых случаях для этого нужно завершить соответствующий процесс через Диспетчер задач Windows.

Ранее ФБР сообщило, что в 2017 году ущерб от ложной техподдержки превысил $15 млн. С 2015-го эта цифра выросла в 10 раз. Для борьбы с мошенниками Google планирует запретить в своих сервисах любую рекламу услуг по обслуживанию компьютеров — продвигать свой сервис смогут только авторизованные центры из белого списка.

Источник: https://threatpost.ru/new-browser-locker-itw-downloads-itself-with-the-site/29065/