尽管安全供应商和执法人员行动,技术支持诈骗仍然是2018年最受消费者威胁之一。诈骗者经常寻找卷起更多受害者的新方法,超越冷酷的电话冒充微软Rogue Tech支持广告使用合法品牌的好名称,当然,恶意弹出窗口

我们一直在监控特定的技术支持诈骗诈骗活动,就像其他几个一样,依赖于恶意地将用户重定向到众所周知的浏览器储物柜(眉头锁)页面。虽然这行业的骗子是重用设计模板的骗子,但我们仍然能够孤立与本集团有关的事件,我们在伙伴名称下跟踪。必威客服app

然而,我们最近再次赶上了同样的竞选活动,并注意到虚假的警报页面似乎是一种专为谷歌浏览器设计的新的Bowlock技术。在本博客文章中,我们分享了我们的一些调查结果及其最新技术。

鉴别

浏览器储物柜是典型的,我们通常会看到,但骗子确保大多数浏览器和操作系统都覆盖了自己的着陆页。这是通过查看用户 - 代理字符串来确定,当客户端请求页面到恶意服务器时确定。它通过JavaScript函数进一步自定义,该函数执行骗局的“锁定”部分。

相同的眉头域的不同模板

我们跟踪此广告系列的名称是由HTML源代码中的字符串“Stroka”的启发。相同的字符串(和类似的代码)也以前的基于JavaScript的“警察眉头“这需要用户用凭证支付罚款。但是,因为欺诈者之间的代码重用很常见,所以它可能是一个完全不同的组。

通过重定向,TLD和注册商竞选识别

威胁演员在某种可预测的模式之后使用数十名Gmail帐户。

注册人与Partnerstroka活动相关联的电子邮件必威客服app

每个电子邮件地址都与几百到几百的任何地方绑定到任何地方。俱乐部GTLD.)滥用Godaddy Registrar / Hosting Platform的Browlock域名,我们与谁分享了我们的调查。

属于一个电子邮件地址的域的视图

我们能够在几个月内提取超过16,000个恶意域,但我们认为实际的数量要高得多。实际上,我们对此广告系列深度的可见性部分与我们编目的电子邮件地址有部分绑定,不幸的是,新的围绕隐私法律谁是记录阻碍了我们的研究。

交通分布

我们观察了不同的技术,以将毫无戒心的用户重定向到额定页面,尽管变形几乎总是链中的一个元素。当访问具有少于最佳广告实践的网站时,被重定向到这些额定阵列之一的可能性更高。

黑色铁资本

黑色铁资本是骗子使用的交通分配系统(TDS),以提供网络威胁并避免不需要的交通(即不是真实的人类)。它的种类来自于通过利用套件来感染的社会工程攻击范围。

Part必威客服appnerstroka集团使用各种广告网络将访问者驱动到BrowLock页面,有时直接,但通常通过中介常常。信息门。

Blacktds交通,恶意,.info门,和.club browlock

诱饵网站

另一种技术通过诱捕我们所谓的“粘贴”的诱饵门户来重定向杠杆作用者,这是用于仅为某些类型的用户提供恶意内容的诀窍,并将其它(非目标)重定向到良性的页面。

来自诱饵网站的交通导致.Club Browlock

博客标准重定向

我们还遇到了博客上的一些博客(现在由谷歌拥有)。这些都是空的,要么只是显示有限的内容,而且,他们的目的是为了对Bowlock页面进行重定向。

用于重定向的流氓博客标题

研究他们的重定向连锁更紧密地,我们发现了有趣的是如何被调用眉头域的兴趣。他们在那之间使用营销平台,这将与最新的注册眉头域响应:

从博客到眉头锁定重定向

通过注射地点恶化

我们最近观察到的大部分活动来自于注入广告代码的网站。虽然某些网站所有者在故意这样做以货币化他们的流量,但当我们发现跨域跨越众多没有共同的域的广告活动标识符时,它变得更加可疑。谢谢@ Baberpervez2.用于提供最近的恶意链。

来自恶意链的Windows 10上的浏览器储物柜

邪恶的游标

有许多不同的文档技术可用于防止用户关闭选项卡或浏览器窗口,并且通常乘以每个浏览器的时间。例如,Edge和Firefox用户通常会得到需要身份验证在循环中提示,而Chrome用户则由更多令人讨厌的东西服务,例如实际尝试冻结浏览器要么触发数以千计的下载

9月初,我们再次遇到了合作伙伴组织集团,并注意到他们已纳入浏览器储物柜技术,该必威客服app技术正在针对最新版本的Google Chrome(69.0.3497.81)。类似于其他技巧,它有效地防止了关闭违规页面,因为鼠标光标已被劫持。

可以在上面的动画中看到,红点代表用户实际点击的内容,即使光标本身似乎是脱离的。负责此不需要行为的代码可以在HTML Body标记中找到:

几行代码来改变鼠标光标

Base64 Blurb对低分辨率鼠标光标的简单图像进行解码,但重要的位是128×128透明像素,其基本上将光标变为大盒子。我们通过的报告了这个问题铬虫跟踪器门户而且回答的第一个人展示了定制的“邪恶”光标看起来像:

新光标显示实际(不可见)广场

这是可以针对现代浏览器使用的许多这样的技巧的一个例子。通常,经历良好或更模糊的功能的特征变成了攻击向量,用于进一步愚弄愚蠢的用户,导致他们拨打诈骗者以获得帮助。实际上,警报的声音和浏览器似乎完全被锁定为许多人的触发器。这些基本上是相同的恐慌策略,这些策略已经用于年龄并仍然良好工作。

类似的运动

我们注意到滥用NameCheap注册商的技术支持诈骗。虽然我们无法积极地确定这也是Partnerstroka集团(诈骗者之间的着陆页重用是一件事),但它们肯定分享一些常见必威客服app的特征。

域名:UKXHDP [。]俱乐部注册商网址:http://www.namecheap.com创建日期:2018-08-21T15:06:23z

使用相同的光标技巧与通过NameCheap注册的域名

域名:descorservicesavailoffer [。]俱乐部注册商网址:http://www.namecheap.com创建日期:2018-08-22T12:16:07z

Browlock托管在AWS S3桶上

缓解

由于不同浏览器储物柜广告系列之间基础设施的大小和不断变化的性质,对它们应用域/ IP数据库方法不是有效的解决方案。虽然它确实提供了一些覆盖率,但诈骗者始终是前进的,因为它们能够注册新的(尚未被检测到的)域名。

在Malware必威平台APPbytes,我们使用黑名单来解决这个问题,更重要的是启发式技术。我们的浏览器扩展(Beta)可以检测和防止眉头:

Browlock通过MalwareBytes扩展停必威平台APP止

技术支持诈骗一直在一段时间并遵循多年来的各种趋势。虽然社会工程是他们的主要杠杆,但他们经常融入帮助这种努力的技巧。我们可以期待骗子沿着巧妙的方式突破浏览经验和滥用广告,登记和托管平台。

作为捍卫者,我们还必须面临追踪威胁行动者的新挑战,这些威胁行为者受益于隐私保护法所提出的变化。随着我们适应这些新的现实,与涉及方分享威胁情报比以往以往任何时候都更重要,以便以更大的规模解决问题。

妥协指标

最近.Info重定向器

getshopea7 [。]信息Meshopea4 [。]信息BestShopec97 [。]信息

最近.Club Browlocks.

Ourtabta133 [。] Club Xtabtec134 [。] Club Doebase1089 [。] Club Digivinta137 [。] Club 99山庄Z16 [。]俱乐部

诱饵网站

AllaboutSearching [。] com bestcookingonline [。] com best10traveltips [。] com thronetheate [。] com bestporngifs [。] org bestshockers [。] com toptipstocravel [。] com hddfilms [。] com

Blogger重定向

零件添加到a-book-document [。] blogspot.com最佳账户in-world.blogspot [。] com thjdfk.blogspot [。] com webanalysesteam.blogspot [。] com gloydeliverystatuseofallyours [。]博客。com stameicwordstominutes.blogspot [。] com templateanditwillalwaysservethe.blogspot [。] com themeswritingpadandcustomise.blogspot [。] com