Browser Locker se descarga sobre la marcha para evitar la deteccion

El nuevo Jérôme Segura de Malwarebytes observó una nueva técnica de ofuscación de bloqueo del navegador que hace posible que las estafas de soporte técnico bloqueen los navegadores web de sus víctimas y al mismo tiempo eviten completamente la detección.

Los armarios del navegador son un tipo de ataque malicioso diseñado para bloquear completamente el navegador web de la víctima, negando el acceso al escritorio o bloqueando la navegación a otros sitios web.

Esto permite a los malos actores detrás de él inducir a un estado de urgencia, persuadir a la víctima de que llame a un número de estafa de soporte técnico, pagar un rescate o instalar una extensión malintencionada que podría eliminar una carga útil de malware.

A diferencia de muchos de sus hermanos, el nuevo bloqueador del navegador descubierto por Segura no reside en la página diseñada para cebar a la víctima, se ofusca usando un método nuevo e ingenioso en lugar de la codificación BASE 64 o hexadecimal utilizada por los estafadores Que quieren ocultar sus herramientas de miradas indiscretas.

Para ser más exactos, este nuevo bloqueo del navegador que Segura encontró en la naturaleza lleva la ofuscación a otro nivel al cargar su código desde otra ubicación y no tenerlo incluido en la página principal de Browlock.

El estado de bloqueo de teclas se activa después de descargar, decodificar y ejecutar el bloqueo del navegador sobre la marcha

Además, una vez que se carga la página de bloqueo del navegador, el navegador carga la biblioteca de JavaScript Zepto.js con una API compatible con jQuery y la biblioteca base64.min.js utilizada para decodificar el contenido codificado en Base64 en tiempo real.

El código del bloqueador del navegador se carga mediante una solicitud GET del archivo source.php almacenado en el mismo servidor que la página principal de estafa, se decodifica en la memoria y se ejecuta mediante el navegador web, lo que desencadena un estado de bloqueo de la vista.

"No se puede negar que los delincuentes intentan nuevamente jugar al gato y al ratón con los defensores", dice Segura. "Tal vez como un gesto irónico, incluso crearon un falso identificador de Google Analytics: gtag ('config', 'UA-8888888-x'), además de usar los mapas-google [.] Us Google look -al igual dominio. "

Incluso si los usuarios caen en estas estafas, deben saber que no son en absoluto peligrosos y que la mayoría, si no todos, se pueden descartar al eliminar el proceso del navegador web utilizando el administrador de procesos del sistema operativo.

Semrush sigue a tu competencia


Fecha actualización el 2018-11-07. Fecha publicación el 2018-11-07. Categoria: software Autor: Oscar olg Mapa del sitio Fuente: softpedia
software