在任何时候都有许多不同的技术支持骗局(TSS)活动,其中大多数是由恶意广告(浏览器储物柜)或捆绑软件(屏幕储物柜)推动的。
最近发生了一件有趣的事情,合法但遭到黑客攻击的网站会被重定向到一个技术支持诈骗页面,不仅是通过恶意广告,还有带有流行网站感染标志的被黑客攻击的网站。
特别引人注目的是,来自美国(和其他一些地方)的访问者,运行ie浏览器,被定向到诈骗页面,而不是我们通常预期的:一个漏洞工具包登陆页面。
在这篇博客中,我们将重点关注美国的运动,这是通过恶意广告和受损网站推动的,并通过使用数字域名来识别。
数字TSS
这种最新的技术支持骗局可以通过在其域名内仅使用数字来识别。数字域名乍一看可能很奇怪,但它们的工作原理和其他域名一样。
如果篇幅短的话,它们可能会很贵,因为它们可以代表一个品牌或有特殊含义(比如包含数字8,在中国很流行)中国文化),但在其他方面却是一种廉价商品。
事实上,我们在这次攻击中遇到的每个域名的注册价格仅为0.88美元,并提供了免费的WhoisGuard匿名保护:
数字TSS自4月初以来,基于此UrlQuery的数量已经存在报告,其中一些域名已于3月底注册。
域名创建日期6473819564947657419。赢得2017-03-31 7598437654236982。赢了2017-03-31
浏览器储物柜
几乎所有的浏览器都无法缓解数字TSS所使用的假警报,因为它们不允许你正常关闭页面,而没有留下什么选择,只能求助于任务管理器来杀死违规的进程。
Internet Explorer
对于Internet Explorer,骗子正在使用鼠标事件来加载对话框消息。每次鼠标移动在某个区域上时,同样的弹出窗口都会重新出现。您只能使用键盘快捷方式关闭页面(如果您不移动光标),但这不是大多数用户都知道的。
代码:
谷歌浏览器
这个活动的谷歌Chrome版本仍然使用历史.Pushstate()欺骗我们报道在2016年11月,通过最大化CPU来冻结浏览器。这对Windows和Mac上的Chrome造成了影响,是迄今为止各种浏览器中最具破坏性的体验。
代码:
Firefox.
当显示页面时,将提示使用Firefox访问者,其中包含用户名和密码,从而滥用HTTP基本访问身份验证通过重新加载该对话框重复锁定浏览器。
代码:
边缘
Edge实际上是唯一一个可以让你“干净地”关闭页面,而不用求助于任务管理器或其他快捷方式组合的浏览器。
代码:
发行第一部分:恶意广告
我们抓住了一些涉及数字TS的恶意链,但最值得注意的是Adsterra广告网络。一个有趣的是,我们希望在这里看到不同的TSS运动(托管在Amazon S3)。
分布第2部分:受损网站
eit是利用受损网站通过恶意重定向赚钱的几个活动之一,通常是利用RIG EK等工具包。它也是为数不多的不只是长期存在的但已经与社会工程方案多样化,如假字体技巧。
5月下旬,@nao_sec博客关于EITest的一些隐形,特别是在某些地理位置。很快就清楚了,多功能EITest还有另一个锦囊妙计观察到的由其他人,如布拉德邓肯。
大小的窗格将在损失的位置注入标记与数字TS页面的URL。值得注意的是,URL可能是广告网络甚至我们之前提到的一个盖茨。但是,EITest直接生成正确的URL,表明某种访问在恶意运动中使用的同一API。
有时候API失败(也许是因为抛弃),我们抓住了这个情况:
Brad Duncan也捕获类似的例子通过EITest,其中注入的代码有一个空白的数字域,但也有一个链接到RIG EK登陆页面(bug, a /B测试?)
技术支持骗局
这项活动似乎在印度燃料了各种呼叫中心,通过飞行产生的电话号码并基于地理位置。虽然假警报是一个轻松的骗局未经批准的用户数百美元,但我们注意到诈骗方式的一些差异。一些呼叫中心是直接的欺诈性,直接赚钱,但其他人仍然花时间走过“诊断”。
无论如何,微软永远不会使用这种方式来联系可能被感染的人,所以你可以放心,任何电话号码出现在你的机器上是不值得信任的。
缓解
摆脱浏览器储物柜(AKA Browlock)的最简单方法是使用任务管理器终止('结束任务')相关的浏览器进程。根据您的操作系统,有各种方法可以启动它,但通常可以在搜索栏中键入它(Windows 10中的Windows Logo附近的左下角,或Windows 7中的“开始”菜单中)。
这不会损坏你的电脑,但你会失去你打开的网站。话虽如此,浏览器锁也不会给你太多的机会来恢复它们。在强制终止浏览器进程后,你可能会被问到是否想要从“崩溃”中恢复页面。你最好说“不”,否则你又要回到原点处理储物柜了。
结论
通过被攻击的网站进行技术支持诈骗是令人担忧的,因为广告拦截器在这里将是无效的,因为没有中间人(广告商)涉及到被拦截。这就是为什么浏览器扮演了如此重要的角色,但也正是它们的不足之处。维护此类网站的黑名单几乎是适得其反的,因为流氓域名旋转得如此之快。可以改进如何击败浏览器储物柜,为用户提供出路,但也可能标记这些页面潜在的恶意,仅仅基于他们的行为。
来自恶意软件活动的越来越多的社交工程计划是一个迹象,这些标志是这些天漏洞套件未能产生足够的受害者,这主要是由于他们依赖于长期修补的旧漏洞。另一个因素是谷歌Chrome的市场份额(C失去60%),而目前的大多数漏洞仍然是以Internet explorer为中心的。
直到攻击者可以掌握新的漏洞,他们将继续设计创意诱饵,并使它们适应最多影响的目标。
数字TSS域名的一些例子:
6473819564947657419.win 7598437654236982.win 75894326984785657.win 089808456012319849851.win 28769437645567160.review 1367465423548945466.win 36546876516465456.win 15467448788975.win 1652546334798534.win 42165448125463151.win 544789942631624685.win 1317587423345278789.win 462781647864529375896239.win 547566458877948786467.win 14567996453586879.review 1894063121084890231894080.win 212655432897895349795160。赢45610897897984561087802.site 0789085614050105453286405572454.win 1987561230989456165016547084564189075132104897789415128287129.win 236846723674238468.site 712653651726438762364523546823.site 068923772895474564121755216.review
文本信息:
Windows防御者警报:在您的计算机中检测到宙斯病毒!!请不要关闭或重启您的计算机。如果继续操作,将导致以下数据泄露:1.单击“确定”。密码2。浏览器历史记录3。4.信用卡信息本地硬盘文件。这种病毒以完全窃取身份和信用卡而闻名。通过这台计算机或网络上的任何计算机进一步的行动将泄露私人信息,并涉及严重的风险。打电话给微软技术部门:(888)
评论