Browser Locker 重定向攻擊利用新聞網站上 XSS 漏洞攻擊 Facebook
精心設計的重定向和數百個URL構成了范圍廣泛的技術支持騙局。
復雜的“瀏覽器Locker”活動正在Facebook上傳播,最終推動了技術支持騙局。研究人員說,這項工作比大多數工作都要先進,因為它涉及利用流行新聞網站上的跨站點腳本(XSS)漏洞。
瀏覽器Locker 是一種重定向攻擊,網絡沖浪者將在該站點上單擊,然后僅發送到頁面,警告他們計算機感染了“病毒”或惡意軟件。然后,該頁面通常會敦促目標用戶在屏幕上撥打電話以獲取“技術支持幫助”。如果他們不滿意,他們會連接到呼叫中心,在呼叫中心,他們需要付費以“clean”他們的機器。
據研究人員稱,在最近的一項廣泛活動中,網絡攻擊者正在使用Facebook分發惡意鏈接,這些鏈接最終會重定向到瀏覽器更衣頁。Malwarebytes的研究人員在周三概述其發現的帖子中指出,這些鏈接可能通過Facebook游戲傳播。
Malwarebytes研究員Jér?meSegura表示:“我們查看的廣告活動似乎僅使用Facebook上發布的鏈接,考慮到傳統上技術支持騙局是通過惡意廣告傳播的,因此這是非常不尋常的,”
他補充說,Facebook向用戶發布了一個彈出窗口,要求他們確認重定向。但是,由于鏈接的URL地址略短,因此目的地被遮住了。
Segura說,總體而言,該公司在三個月的時間內發現了50個不同的bit.ly鏈接用于該騙局,“建議定期進行輪換以避免將其列入黑名單。”
XSS漏洞
Segura說,這些bit.ly URL重定向到一個名為RPP的Peruvian網站,該網站“完全合法,每月吸引2300萬訪問量”。他補充說,他已向Grupo RPP報告了此問題,但在發布時尚未得到回復。
他發現該站點包含一個XSS漏洞,該漏洞允許進行開放重定向。當HTTP GET請求中的參數值(URL中“?”之后的部分)允許將用戶重定向到新網站的信息時,無需進行任何目標或合法目的的驗證,就會發生開放重定向。因此,攻擊者可以操縱該參數將受害者發送到虛假頁面,但是該操作似乎是網站意圖的合法操作。
活動的重定向流
研究人員說:“威脅演員喜歡濫用開放重定向,因為它使發送受害者的URL具有合法性。”
在這種情況下,威脅行動者正在使用XSS錯誤從buddhosi [.] com(受攻擊者控制的惡意域)加載外部JavaScript代碼,該網站將URL中的代碼替換為重定向來創建重定向。
根據分析,“ JavaScript依次使用replace()方法創建了到Browlock登錄頁面的重定向。” 方法的作用是:在字符串中搜索指定值,然后返回替換指定值的新字符串。
Segura指出,除了將用戶重定向到其他站點之外,攻擊者還可以利用XSS將當前頁面重寫為他們喜歡的任何內容。
無論如何,最終的瀏覽器鎖登錄頁面托管在大約500個“一次性”和隨機命名的域名中,這些域名使用各種新的頂級域名(如.casa、.site、.space、.Club、.icu或.bar)。
Browser Locker
用戶進入瀏覽器鎖定器頁面后,便會為用戶的瀏覽器添加指紋,以顯示適合上下文的消息。
Segura指出:“它顯示了模仿當前系統文件掃描的動畫,并威脅要在五分鐘后刪除硬盤驅動器。” “當然這都是假的,但令人信服的是,有人會撥打免費電話尋求幫助。”
電話號碼,就像頁面本身一樣,也很多。惡意軟件字節找到了近40個不同的電話號碼,并指出可能還會更多。
總而言之,事件鏈非常復雜且范圍廣泛,足以幫助威脅行為者避免被關閉。Segura說,Facebook的角度也很精明。
一如既往,針對這些類型的騙局的最佳防御方法就是簡單地認知。
作為起點,“發布到社交媒體平臺上的鏈接應始終受到審查,因為它們是騙子和惡意軟件作者將用戶重定向到不良內容上的普遍濫用方式,”他指出。
