BrowserLocker(又名browlock)是一种在线威胁,它会阻止受害者正常使用浏览器并以恐吓方式索要赎金。Locker是一个伪造的页面,它会编造各种理由(如数据丢失、法律责任等)来诱骗用户拨打诈骗电话、进行转账或提供个人账户资料。“锁定”涉及防止用户离开当前选项卡,该选项卡会显示一些威胁信息,通常带有声音和视觉效果。这种欺诈并不新鲜,早就引起了研究人员的注意。在过去十年中,针对全球用户的浏览器锁定活动很常见。虽然威胁已经变得非常成熟,但它仍然保持着流行。与此同时,诈骗者使用的欺骗手段越来越多,包括在浏览器中模仿“蓝屏死机”(BSOD)、关于系统错误或检测到病毒的虚假警告、加密文件威胁、法律责任通知等。在这篇文章中,我们研究了两个模仿政府网站的储物柜系列。这两类储物柜主要通过广告网络传播,其主要目的是以侵入性方式销售成人内容和电影。例如,当加载带有嵌入式广告模块(弹出窗口)的页面或点击页面上的任意位置(点击下方)后,通过在访问站点顶部打开的选项卡或窗口。据推测,网络犯罪分子花钱购买广告,这些广告将在弹出窗口中显示浏览器储物柜内容。输入#1。伪装成俄罗斯内政部的虚假网站:“把你的钱给我们”第一种储物柜类型模仿俄罗斯内政部(MVD)的网站,主要针对俄罗斯用户。2020年第四季度,超过55000名用户遭遇此类骗局。受害者看到(和听到)的内容当登陆虚假的browlock网站时,用户通常会看到浏览器弹出警告,告诉他们如果离开该页面,某些更改可能不会保存。如果用户只是关闭选项卡,则什么也不会发生。但是如果他们点击页面上的任何地方,储物柜的主要内容就会扩展到全屏。然后,用户将看到一个带有打开浏览器的模拟计算机屏幕,底部带有GoogleChrome图标的任务栏,以及顶部显示MVD真实URL的地址栏。页面上的通知指出该设备已因违反法律而被锁定。该网站以罚款为借口,指示受害者将一定数额的钱转入手机账户,金额从3,000到10,000卢布(40-130美元)不等。如果您拒绝,勒索软件将根据俄罗斯《刑法》第242条威胁承担刑事责任,并声称对文件进行加密。该页面还附有一段威胁用户罚款的录音。技术细节诈骗者使用全屏模式让用户难以访问浏览器窗口控件和任务栏,并制造锁定效果。此外,为了让受害者相信鼠标没有响应,攻击者通过操纵CSS属性cursor来隐藏光标。该页面还使用以下代码来处理击键:混淆后我们得到一个非常小的脚本:可能假设运行此代码会导致Escape(keycode=27)、Ctrl(keycode=17)、Alt(keycode=18)和Tab(keycode=9)和F1,F3,F4,F5和F12的情况下,它可以防止用户使用各种键盘快捷键离开页面,但这种方法在现代浏览器中不起作用。另一个有趣的细节是假定的文件加密过程的动画,如下面的屏幕截图所示。它由无限数量的连续随机数和字母组成,用于模拟系统目录中涉嫌加密文件的枚举。页面地址网络罪犯经常使用字母数字域名,其中数字序列对应于接近域名注册日期的日期,字母序列是缩写,例如“mpa”(俄语“市政法”)或“kad”(“国家法律法案”)。office”)。欺诈域名的示例:0402mpa21[.]ru。我们还看到了由基于主题的词组成的域,例如“警察”或“mvd”。网络犯罪分子使用它们来冒充合法网站的地址以获取法律执法机构如mvd-ru[.]tech.移动版假冒MVD网站这种威胁也存在于移动设备上。为了在传播过程中确定设备类型,检查HTTP请求标头中的User-Agent字段。与“完整版”,受害者被指控违法并被罚款,但移动版的勒索金额远低于桌面版。类型#2.中东的假执法网站:“请提供您的银行卡详细信息”第二种勒索类型的不同之处在于向勒索者支付金钱的方式。和以前一样,用户被指控违法,被告知他们的电脑被锁定,并被勒令支付罚款。然而,网络犯罪分子并没有留下他们的帐户或电话号码进行付款,而是在页面上插入了一个数据输入表格,要求用户提供他们的银行卡详细信息。该储物柜系列主要针对中东地区(阿联酋、阿曼、科威特、卡塔尔和沙特阿拉伯)的用户。此外,我们在印度和新加坡也看到了伪装成执法网站的勒索页面,这在欧洲是比较少见的。2020年第四季度,此类威胁超过13万用户。技术细节从技术角度来看,第二种浏览器储物柜在很多方面都与伪造的MVD网站相似。与第一种情况一样,网页内容扩展到全屏,使用户难以访问浏览器窗口控件和任务栏。页面顶部是一个带有官方政府资源URL的地址栏,底部是一个带有GoogleChrome图标列的假任务。鼠标指针无法显示,勒索软件使用与上述类似的脚本来处理击键。除了输入支付数据外,用户不能在页面上执行任何操作。下面的屏幕截图显示了一个不起眼的脚本,它实现了一个“锁”并收集和发送用户输入的数据。受害者的支付细节通过HTTPPOST请求传输到托管页面的同一恶意资源,下面的屏幕截图将支付细节发送到恶意网站sslwebtraffic[.]cf的样品请求。结论这种威胁在技术上并不复杂。它们的功能相当原始,旨在通过营造锁定计算机的错觉来恐吓受害者。只要您不落入网络罪犯的“烟幕”战术中而误登陆此类页面,您的设备和数据就不会受到损害。更重要的是,摆脱储物柜不需要任何特殊知识或技术手段。但是,如果用户被骗而恐慌,他们可能会蒙受损失。卡巴斯基解决方案使用HEUR:Trojan.Script.Generic方案防止恶意网络资源和威胁相关文件(脚本、内容元素)。妥协假MVD网站2301tiz21[.]ru112aubid[。]ru00210kad[。]ru1910mpa20[。]rumvd[。]pp[.rumvd[.]网[。]ru在线警察[。]信息mvd-online-police[。]ga冒充其他国家的执法网站supportpayprogramarabicssn[.]gatkkmobileinternetssnstop[.]mltkkmobileinternetssnstopopen[.]gqamende-police-4412[。]xyzgropirworldplssn[。]ga本文翻译自:https://securelist.com/browser-lockers-extortion-disguised-as-a-fine/101735/如有转载请注明原文地址。
