Suicide
11.11.2018, 03:45
Преступники, зарабатывающие на несуществующих проблемах пользователей, освоили (https://news.softpedia.com/news/browser-locker-downloads-and-decodes-itself-on-the-fly-to-avoid-detection-523645.shtml) новую технику, которая позволяет им скрытно встраивать поддельные системные уведомления на сайты. Вместо того чтобы обфусцировать код, злоумышленники догружают его через сторонние JavaScript-библиотеки. О находке сообщил специалист Malwarebytes Жером Сегура (Jérôme Segura).
Мошенничество с ложной поддержкой построено на запугивании пользователя якобы обнаруженными у него зловредами. Преступники выводят на экран жертвы текст-предупреждение и заманивают на свою страницу якобы для загрузки антивируса. В других случаях всплывающий баннер предлагает пользователю позвонить на горячую линию, после чего оператор подключается к компьютеру удаленно и сам устанавливает вредоносное ПО.
Чтобы подтолкнуть жертву к необходимым действиям, баннер может заблокировать браузер или помешать работе компьютера. Современные защитные системы распознают код таких уведомлений на интернет-страницах и блокируют их. Это заставляет злоумышленников идти на хитрость, скрывая его с помощью обфускации. Метод, обнаруженный Сегурой, позволяет перескочить этот этап.
Как пояснил аналитик, преступники спрятали код назойливого уведомления в сторонней JavaScript-библиотеке с зашифрованным содержимым. При загрузке страницы она скачивается с внешнего источника и сразу распаковывается, отображая вредоносный баннер. Таким образом, обнаружить его может только антивирусное ПО с функцией анализа JavaScript. Простой анализ HTML-кода не спасает от угрозы, поскольку в исходнике страницы нет чего-либо подозрительного.
Организаторы кампании также встроили в код поддельный идентификатор Google Analytics и использовали домен, похожий на Карты Google. По словам экспертов, таким образом преступники дразнят ИБ-специалистов. Эти меры также рассчитаны на то, чтобы рассеять возможные подозрения неподкованного пользователя, — на первый взгляд, скрипт обращается за легитимным содержимым.
Эксперты призывают не поддаваться на уловки мошенников и напоминают, что любое всплывающее уведомление можно просто закрыть. В самых тяжелых случаях для этого нужно завершить соответствующий процесс через Диспетчер задач Windows.
Ранее ФБР сообщило (https://threatpost.ru/fbi-reports-about-tech-support-fraud-in-2017/25370/), что в 2017 году ущерб от ложной техподдержки превысил $15 млн. С 2015-го эта цифра выросла в 10 раз. Для борьбы с мошенниками Google планирует (https://threatpost.ru/no-more-support-says-google/28034/)запретить в своих сервисах любую рекламу услуг по обслуживанию компьютеров — продвигать свой сервис смогут только авторизованные центры из белого списка.
8.11.2018
https://threatpost.ru/new-browser-locker-itw-downloads-itself-with-the-site/29065/
Мошенничество с ложной поддержкой построено на запугивании пользователя якобы обнаруженными у него зловредами. Преступники выводят на экран жертвы текст-предупреждение и заманивают на свою страницу якобы для загрузки антивируса. В других случаях всплывающий баннер предлагает пользователю позвонить на горячую линию, после чего оператор подключается к компьютеру удаленно и сам устанавливает вредоносное ПО.
Чтобы подтолкнуть жертву к необходимым действиям, баннер может заблокировать браузер или помешать работе компьютера. Современные защитные системы распознают код таких уведомлений на интернет-страницах и блокируют их. Это заставляет злоумышленников идти на хитрость, скрывая его с помощью обфускации. Метод, обнаруженный Сегурой, позволяет перескочить этот этап.
Как пояснил аналитик, преступники спрятали код назойливого уведомления в сторонней JavaScript-библиотеке с зашифрованным содержимым. При загрузке страницы она скачивается с внешнего источника и сразу распаковывается, отображая вредоносный баннер. Таким образом, обнаружить его может только антивирусное ПО с функцией анализа JavaScript. Простой анализ HTML-кода не спасает от угрозы, поскольку в исходнике страницы нет чего-либо подозрительного.
Организаторы кампании также встроили в код поддельный идентификатор Google Analytics и использовали домен, похожий на Карты Google. По словам экспертов, таким образом преступники дразнят ИБ-специалистов. Эти меры также рассчитаны на то, чтобы рассеять возможные подозрения неподкованного пользователя, — на первый взгляд, скрипт обращается за легитимным содержимым.
Эксперты призывают не поддаваться на уловки мошенников и напоминают, что любое всплывающее уведомление можно просто закрыть. В самых тяжелых случаях для этого нужно завершить соответствующий процесс через Диспетчер задач Windows.
Ранее ФБР сообщило (https://threatpost.ru/fbi-reports-about-tech-support-fraud-in-2017/25370/), что в 2017 году ущерб от ложной техподдержки превысил $15 млн. С 2015-го эта цифра выросла в 10 раз. Для борьбы с мошенниками Google планирует (https://threatpost.ru/no-more-support-says-google/28034/)запретить в своих сервисах любую рекламу услуг по обслуживанию компьютеров — продвигать свой сервис смогут только авторизованные центры из белого списка.
8.11.2018
https://threatpost.ru/new-browser-locker-itw-downloads-itself-with-the-site/29065/