Browser Locker:以罚款为借口的虚假网站诈骗 - 嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com

Browser Locker:以罚款为借口的虚假网站诈骗

我们会有自己的猫 新闻 2021-04-13 10:15:00
272350
收藏

导语:Browser Locker是一种在线威胁,它们使受害者无法正常使用浏览器,并以恐吓的方式索要赎金。

ransom_locker-1200x600.png

Browser Locker(又名browlock)是一种在线威胁,它们使受害者无法正常使用浏览器,并以恐吓的方式索要赎金。locker是一个伪造的页面,它编造种种理由(如数据丢失、法律责任等)欺骗用户拨打诈骗电话、进行汇款转账或提供个人账户的详细信息。“locking”包括防止用户离开当前选项卡,该选项卡会显示一些通常带有声音和视觉效果的恐吓消息。

这种类型的欺诈行为并不新鲜,并且早已引起研究人员的关注。在过去的十年中,针对全球用户的browser locking活动屡见不鲜。尽管威胁已经非常成熟,但它仍然保持着知名度。与此同时,诈骗者使用的欺骗手段的数量在不断增加,其中包括模仿浏览器中的“死亡蓝屏”(BSOD),有关系统错误或对检测到的病毒发出虚假警告,加密文件的威胁,法律责任通知等。在这篇文章中,我们研究了两个模仿政府网站的locker家族。 

传播方式

这两种locker类型主要通过广告网络传播,其主要目的是以侵入性的方式出售成人内容和电影。例如,当加载带有嵌入式广告模块(弹出窗口)的页面或单击页面上的任何位置(单击下方)后,通过在访问站点顶部打开的选项卡或窗口进行传播。据推测,网络犯罪分子会花钱买广告,从而会在弹出窗口中显示browser locker的内容。

类型#1.伪装成俄罗斯内政部的虚假网站:“把钱给我们”

第一种locker类型模仿了俄罗斯内政部(MVD)的网站,主要针对俄罗斯用户。在2020年第四季度,超过55,000个用户遇到了遇到了这种类型的诈骗。

MVD_fake_sites_01.jpeg

受害者看到(和听到)的内容

MVD_fake_sites_02.jpeg

在登陆到假的browlock网站上时,用户通常会从浏览器中看到警告弹出,告诉他们如果离开页面,则可能无法保存某些更改。

如果用户只是关闭选项卡,则什么也不会发生。但是如果他们单击页面上的任意位置,则locker的主要内容将会扩展到全屏。接着,在用户面前将会出现一个具有打开的浏览器的模拟电脑屏幕,底部是带有Google Chrome图标的任务栏,顶部是一个显示MVD真实URL的地址栏。页面上的通知指出,该设备已因违反法律而被锁定。网站以罚款为借口,指示受害人将一定数额的资金转入移动帐户,金额从3,000到10,000卢布不等(40-130美元)。如果拒绝的话,勒索软件就以俄罗斯《刑法》第242条规定的刑事责任相威胁,并声称要将文件加密。该页面还附有一段录音,录音威胁用户要求他们支付罚款。

技术细节

骗子使用全屏模式使用户难以访问浏览器窗口控件和任务栏,并难以创建锁定效果。另外,为了使受害者确信鼠标无法响应,攻击者通过操纵CSS属性cursor来隐藏光标。

该页面还使用以下代码来处理击键:

MVD_fake_sites_03.png

经过模糊处理后,我们获得了一个非常小的脚本:

MVD_fake_sites_04.png

可能是假设运行此代码会导致Escape(keycode = 27),Ctrl(keycode = 17),Alt(keycode = 18)和Tab(keycode = 9)以及F1、F3、F4、F5和F12案件一样不起作用,这样可以防止用户使用各种键盘快捷键离开页面,但是这种方法在现代浏览器中不起作用。

另一个有趣的细节是假定的文件加密过程的动画,如下面的屏幕截图所示。它由无数个连续的随机数字和字母组成,用于模拟系统目录中据称加密的文件的枚举。

MVD_fake_sites_05 (1).png

页面地址

网络犯罪分子通常使用字母数字域名,其中数字序列对应于接近域名注册日期的日期,字母序列为缩写,例如“mpa”(俄语为“市政法律法案”的缩写)或“kad”(“国土办公室”)。欺诈性域名的示例:0402mpa21 [。] ru。

我们还看到了由基于主题的单词组成的域名,例如“police”或“mvd”。网络罪犯使用它们来模仿执法机构合法站点的地址比如mvd-ru [。] tech。

虚假MVD网站的移动版

这种威胁也存在于移动设备上。为了确定传播期间的设备类型,请检查HTTP请求header中的User-Agent字段。与“完整”版本一样,受害人被指控违法并被罚款,然而相较于电脑版,移动端版本所勒索的数额要少得多。 MVD_fake_sites_06.jpeg

类型#2.中东的伪造执法网站:“请提供您的卡的详细信息”

第二种勒索类型在把钱支付给勒索者的方式上有所不同。与以前一样,用户被指控违反法律,被告知他们的计算机已被锁定,并被要求支付罚款。但是,网络罪犯没有留下他们的帐户或电话号码进行支付,而是在页面上插入一份数据输入表格,要求用户提供银行卡的详细信息。

该locker系列主要针对中东地区的用户(阿联酋、阿曼、科威特、卡塔尔和沙特阿拉伯)。此外,我们还看到伪装成印度和新加坡执法网站的勒索网页,这种勒索方式在欧洲地区比较少见。

2020年第四季度,这种类型威胁了130,000多名用户。

MVD_fake_sites_07-scaled.jpeg

技术细节

从技术角度来看,第二种类型的browser locker在许多方面都类似于伪造的MVD网站。与第一种情况一样,网页内容扩展为全屏显示,使用户难以访问浏览器窗口控件和任务栏,页面顶部是带有官方政府资源URL的地址栏,底部是一个带有Google Chrome图标的假任务栏。鼠标指针无法显示,并且勒索软件使用与上面类似的脚本来处理击键。除了输入付款数据外,用户无法进行页面上的任何操作。

下面的屏幕截图显示了一个模糊的脚本,该脚本实现了“锁定”,并收集和发送用户输入的数据。

MVD_fake_sites_08.jpeg

受害者的付款详细信息通过HTTP POST请求传输到托管该页面的同一恶意资源,下面的屏幕截图是将付款详细信息发送到恶意网站sslwebtraffic [。] cf的请求示例。

 MVD_fake_sites_09.png

结论

此种威胁在技术上并不复杂。它们的功能相当原始,旨在创建一种锁定计算机的假象用以恐吓受害者。只要不落入网络犯罪分子的“烟幕弹”战术,错误地登陆这样一个页面,用户的设备和数据就不会遭到损害。更重要的是,摆脱locker不需要任何专门知识或技术手段。

但是,如果用户受到蒙骗并感到恐慌,他们可能会遭受损失。卡巴斯基解决方案以HEUR:Trojan.Script.Generic方案来预防恶意网络资源和与威胁相关的文件(脚本、内容元素)。

妥协指标

假冒MVD网站

2301tiz21 [。] ru
112aubid [。] ru
00210kad [。] ru
1910mpa20 [。] ru
mvd [。] pp [ .ru
mvd [。] net [。] ru
Police-online [。] info
mvd-online-police [。] ga

假冒其他国家的执法网站

supportpayprogramarabicssn [。] ga
tkkmobileinternetssnstop [。] ml
tkkmobileinternetssnstopopen [。] gq
amende-police-4412 [。] xyz
gropirworldplssn [。] ga

本文翻译自:https://securelist.com/browser-lockers-extortion-disguised-as-a-fine/101735/如若转载,请注明原文地址:
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2022 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务