- Статус
- Offline
- Регистрация
- 23 Фев 2017
- Сообщения
- 332
- Реакции
- 48
- Покупки через Гарант
- 0
- Продажи через Гарант
- 0
Новый метод был взят на вооружение мошенниками, выдающими себя за техподдержку.
Специалист ИБ-компании Malwarebytes Джером Сегура (Jérôme Segura)рассказалоб используемой блокировщиками браузеров новой технике обфускации. Новый метод был взят на вооружение мошенниками, выдающими себя за техподдержку, для блокировки браузеров жертв в обход обнаружения.
Блокировщики браузеров как правило используются мошенниками для «заморозки» браузера и блокировки доступа к компьютеру или навигации по сайтам. Заблокировав браузер, злоумышленники обманом заставляют жертву обратиться в «техподдержку», позвонив на принадлежащий мошенникам телефонный номер, заплатить выкуп или установить вредоносное расширение для дальнейшего заражения компьютера.
В отличие от большинства подобных блокировщиков, обнаруженный Сегурой блокировщик не спрятан на странице-приманке и не использует заурядные техники обфускации с помощью шифров BASE 64 или hex. Этот блокировщик переводит обфускацию на совершенно новый уровень, загружая свой код с другого места, а не со страницы-приманки.
Блокировка браузера происходит после загрузки, расшифровки и выполнения кода блокировщика «на лету». Более того, после загрузки страницы с блокировщиком браузер загружает JavaScript-библиотеку Zepto.js с API, совместимым с jQuery, а также библиотеку base64.min.js для расшифровки в режиме реального времени контента, зашифрованного Base64.
Код блокировщика загружается с помощью запроса GET из файла source.php, хранящегося на одном сервере со страницей-приманкой, расшифровывается в памяти и выполняется браузером, после чего браузер блокируется.
