更新(2018-06-22):这个错误是重新引入在Chrome 67.0.3396.87中,但再次固定。

更新(2018-02-07):报告了Google Chrome的这个问题这里并合并这里

更新(2018-02-07):Firefox.勇敢的似乎也受到这个错误的影响(这两个供应商被告知)。

在过去的季度,我们已经注意到推动技术支持诈骗的假浏览器提醒增加。这些广告系列中的大多数来自恶意广告,而且通过受损网站。骗子正在使用各种技巧来不仅吓唬用户,还要尝试“锁定”浏览器。

一种涉及的技术历史.Pushstate.Pushstate.我们的api报道关于此博客现已进行修补,但仍在继续使用。还有臭名昭着的弹出唇,可以以用户所在的方式使用卡在各种标签之间

在另一个扭曲中,诈骗者现在正在滥用另一个API,以实现他们冻结浏览器的预期目标。通过这样做,他们希望用户会恐慌并致电免费电话援助。以下动画显示了用户可能会在Google Chrome最新版本(64.0.3282.140)中遇到的内容。

图1:当您访问Booby被捕获的页面时会发生什么。

负责此代码的代码嵌入到主页范围内,略微混淆:

图2:具有“Bomb_ch”或“CH_JAM”等功能所示的底层代码

斑点构造函数加上了window.navigator.mssaveoropenblob.方法允许您在本地保存文件,就像您猜到的那样,这是在此被滥用的。

CH_JAM()函数调用另一个名为Bomb_ch(),并恰当地命名他们所做的事情。这反过来呼叫下载使用上述BLOB构造函数的函数。

它恰好太快了解它是如何工作的,但是您可以使用强大的机器发现它,如果您尝试提前关闭选项卡。该代码触发了在快速火灾中的大量下载,这导致浏览器在几秒钟内无响应,并且无法通过正常方式关闭。

图3:尝试关闭浏览器选项卡,然后卡住会显示出现的内容

此特定浏览器冻结的主要目标是Windows上的Google Chrome用户。其他浏览器将获得自己的着陆页面,滥用其他HTML API。考虑到Chrome在浏览器类别中拥有最多的市场份额,这是威胁演员部署新社会工程方案的欲望的另一个例子。

由于大多数这些浏览器储物箱通过恶性分布,因此有效的缓解方法是使用广告拦截器。作为最后的手段,Windows任务管理器将允许您强行退出违规浏览器进程。必威平台APPMalwarebytes用户已被保护针对在此攻击中使用的重定向机制。