技术支持骗子一直在使用各种主题来发布虚假警报,吓唬用户寻求帮助。如果它们是通过浏览器出现的,就属于“browlock”类别;如果它们是运行在系统上的真正恶意软件,就属于“屏幕锁”类别。

最近,诈骗者呈现趋势,导致对人们的计算机的拒绝服务攻击。我们记录它在11月初与特定的HTML5 API(历史.Pushstate.Pushstate.)这导致浏览器冻结。今天,我们快速查看又一个针对运行Safari的Mac OS用户的另一种技术。

一个针对Mac用户的新注册的骗局网站是去年年底制作回合。只需访问旧版本的Macos上的恶意网站即可开始创建一系列电子邮件草稿,最终导致机器用完内存并冻结。

电子邮件

恶意网页首先通过用户代理检查来确定操作系统X的版本,然后推出两个拒绝服务的两个不同版本(10或11):

if((Navigator.UserAgent.match(/ OS 10.1.1 / i)))){location.replace(“http://safari-get.com/11.php”);}否则if((Navigator.UserAgent.match(/ OS 10.2 / I))){location.replace(“http://safari-get.com/11.php”);} else {location.replace(“http://safari-get.com/10.html”);}

第一变种(10.HTML.)有代码,可以逐步逐步起草电子邮件(但实际上并未发送它们)并涵盖以前的打开窗口。

代码

第二种变体(11.php.)将打开iTunes:

iTunes.

这些缺陷可能已经固定麦斯科斯拉10.12.2由于运行完全最新操作系统的Mac用户似乎没有受到邮件应用程序的影响:

湮没

但是,第二种变体似乎仍然能够打开iTunes,而无需在Safari中的任何提示:

推出

多亏了@ thewack0lian.为了让我有关这个骗局网站及其DOS功能。

IOC:

  • safari-get [。] com
  • Safari-get [。]网
  • dean.jones9875@gmail.com.
  • safari-serverhost [。] com
  • safari-serverhost [。]网
  • Amannn.2917@gmail.com.