Browlocks是科技支持诈骗后的主要推动力,使用恶意和巧妙的浏览器储物柜技巧的组合来欺骗用户。事实上,这些效果可能如此令人信服,人们称Rogue Microsoft支持号码寻求帮助,因为他们认为他们的电脑已被劫持。

骗子不断尝试击败现代浏览器和逃避检测的新技巧。最近我们已经看到了“邪恶的游标“这可以防止您关闭假警报,以及假病毒下载暗示你的电脑已经感染了。这次,我们查看浏览器储物柜页面如何使用编码来绕过基于签名的检测。

编码和其他混淆类型

指某东西的用途Base64.要么十六进制编码隐藏恶意脚本和月亮一样古老。恶意软件作者一直依赖于那些对人眼和扫描仪进行识别的人来确定恶意代码。

技术支持诈骗者对浏览器储物柜模板中的混淆没有陌生人。例如,通过使用下面的此十六进制编码,骗子可以掩盖窥探窥探的假警告消息:

但是,浏览器可以读取和解码十六进制编码的内容并将其显示为以下(假)警报:

************************************************* rdn./yahlover.worm!055bccac9fec感染***************************************************

并非所有技术支持骗局阵列使用混淆,但多年来它变得更加常见,看看隐藏的代码部分。我们还没有真正看到的是完整的浏览页面的编码,以便几乎没有伪像。

汤坚果编码

我们最近遇到了眉头模板报告reddit.这已经拍摄于整个新的水平,最重要的是使用上述未被包邮的现有技术。其源代码页面非常简单,但又有效:

我们可以看到正在检索的两个JavaScript库。一个被称为Zepto.js.,根据其作者的是“具有主要族兼容API的现代浏览器的”简约JavaScript库“。更有趣的库是这个base64.min.js文件,它获取base64编码的内容并在飞行中解码。注意如何从主页页面加载此数据,而是从以下GET请求中加载:

没有否认骗子再次尝试用防守者玩猫和老鼠。Perhaps as a tongue-in-cheek gesture, they even created a bogus Google Analytics tracker ID: gtag(‘config’, ‘UA-8888888-x’), in addition to using the maps-google[.]us Google look-alike domain.

对于最终用户,重要的是要记住,无论警告看起来如何甚至听起来如何,最好的行动方案就是保持冷静,并且在过度反应并拨打诈骗者的热线之前需要花费时间。这些眉头不会对计算机造成任何损坏,可以以某种方式关闭。更令人讨厌的仍然需要使用任务管理器杀死违规进程,这就是为什么我们希望浏览器供应商认真对待这些问题以恢复用户的电力。但否则,花时间调查没有伤害,没有犯规。

必威平台APPMalwarebytes浏览器扩展名没有受到这种混淆伎俩的愚弄,并且已经保护了来自这个眉头的用户。