技术支持骗子一直在使用各种主题来发布虚假警报,吓唬用户寻求帮助。如果它们是通过浏览器出现的,就属于“browlock”类别;如果它们是运行在系统上的真正恶意软件,就属于“屏幕锁”类别。
最近,诈骗者呈现趋势,导致对人们的计算机的拒绝服务攻击。我们记录它在11月初与特定的HTML5 API(历史.Pushstate.Pushstate.)这导致浏览器冻结。今天,我们快速查看又一个针对运行Safari的Mac OS用户的另一种技术。
一个针对Mac用户的新注册的骗局网站是去年年底制作回合。只需访问旧版本的Macos上的恶意网站即可开始创建一系列电子邮件草稿,最终导致机器用完内存并冻结。
恶意网页首先通过用户代理检查来确定操作系统X的版本,然后推出两个拒绝服务的两个不同版本(10或11):
if((Navigator.UserAgent.match(/ OS 10.1.1 / i)))){location.replace(“http://safari-get.com/11.php”);}否则if((Navigator.UserAgent.match(/ OS 10.2 / I))){location.replace(“http://safari-get.com/11.php”);} else {location.replace(“http://safari-get.com/10.html”);}
第一变种(10.HTML.)有代码,可以逐步逐步起草电子邮件(但实际上并未发送它们)并涵盖以前的打开窗口。
第二种变体(11.php.)将打开iTunes:
这些缺陷可能已经固定麦斯科斯拉10.12.2由于运行完全最新操作系统的Mac用户似乎没有受到邮件应用程序的影响:
但是,第二种变体似乎仍然能够打开iTunes,而无需在Safari中的任何提示:
多亏了@ thewack0lian.为了让我有关这个骗局网站及其DOS功能。
IOC:
- safari-get [。] com
- Safari-get [。]网
- dean.jones9875@gmail.com.
- safari-serverhost [。] com
- safari-serverhost [。]网
- Amannn.2917@gmail.com.
评论