Блокировщики поисковиков вооружились новой техникой обфускации
07.11.2018
Специалист ИБ-компании Malwarebytes Джером Сегура (Jerome Segura) рассказал об используемой блокировщиками браузеров новой технике обфускации. Новый метод был взят на вооружение мошенниками, выдающими себя за техподдержку, для блокировки браузеров жертв в обход обнаружения.
Блокировщики браузеров как правило используются мошенниками для "заморозки" браузера и блокировки доступа к компьютеру или навигации по сайтам. Заблокировав браузер, злоумышленники обманом заставляют жертву обратиться в "техподдержку", позвонив на принадлежащий мошенникам телефонный номер, заплатить выкуп или установить вредоносное расширение для дальнейшего заражения компьютера.
В отличие от большинства подобных блокировщиков, обнаруженный Сегурой блокировщик не спрятан на странице-приманке и не использует заурядные техники обфускации с помощью шифров BASE 64 или hex. Этот блокировщик переводит обфускацию на совершенно новый уровень, загружая свой код с другого места, а не со страницы-приманки.
Блокировка браузера происходит после загрузки, расшифровки и выполнения кода блокировщика "на лету". Более того, после загрузки страницы с блокировщиком браузер загружает JavaScript-библиотеку Zepto.js с API, совместимым с jQuery, а также библиотеку base64.min.js для расшифровки в режиме реального времени контента, зашифрованного Base64.
Код блокировщика загружается с помощью запроса GET из файла source.php, хранящегося на одном сервере со страницей-приманкой, расшифровывается в памяти и выполняется браузером, после чего браузер блокируется.
