近期,系統安全研究人員發現了一種新型的詐騙技術,攻擊者可以利用這種技術來劫持Google Chrome用戶的瀏覽會話。
因為微軟Windows的技術支持站點就是很多攻擊者的主要詐騙工具,很多釣魚攻擊以及網絡詐騙活動都會利用這種這類技術支持站點來感染目標用戶的主機。其中就包括搜索引擎感染和惡意廣告攻擊,攻擊者通常都會利用這種“合法載體”來傳播他們的惡意軟件或間諜軟件Payload。
除此之外,瀏覽器鎖定技術也是技術支持詐騙需要使用到的一項技術。這種技術主要是將目標用戶重定向到一個“鎖定瀏覽”的界面,并強制讓目標用戶觀看一段用于實現“惡意廣告欺詐”目的的小視頻。最終,瀏覽器的彈窗將有可能導致目標用戶的主機死機或系統崩潰。
在這個過程中,攻擊者可能會給目標用戶發送“您的PC已感染病毒”之類的彈窗,然后再彈出多個“技術支持”窗口來“幫助”目標用戶解決“問題”。此時,攻擊者會嘗試向目標用戶推銷所謂的“反病毒產品”,而其實這些產品就是他們用來獲取目標主機遠程訪問權的惡意軟件。
其中一種典型的技術支持詐騙技術就是Partnerstroka,反病毒解決方案提供商Malwarebytes已經跟蹤并觀察這一網絡詐騙活動很久了,而這種技術近期又引入了一種劫持瀏覽器會話的新方法。
研究人員表示,這種攻擊技術名叫“惡意光標”,這種攻擊活動會將目標用戶重定向到一個嵌入了新型瀏覽器鎖定技術的偽造頁面。值得一提的是,這種技術主要針對的是最新版本Google Chrome瀏覽器,版本號為69.0.3497.81。
攻擊者會通過多個不同的惡意廣告網絡以及惡意鏈接來將目標用戶重定向至惡意域名,研究人員發現,在這個活動中總共涉及到了16000多個惡意域名。
一般來說,在網絡詐騙活動中,攻擊者在實現瀏覽器鎖定時主要利用的都是JavaScript函數。但是“惡意光標”技術與其他技術不同的地方就在于,它為了防止目標用戶關閉瀏覽器頁面,它劫持了目標用戶的鼠標。用戶點擊了“關閉”按鈕之后,他們可能以為自己已經關閉頁面了,但由于他們的鼠標已經被劫持了,所以他們點擊的其實是其他地方。
這種技術主要利用的是Chrome瀏覽器的一個漏洞,而這種漏洞是由于HTML代碼無法正確解碼低分辨率鼠標光標所導致的。它會將光標變成一個128×128像素的透明“大方框”,當用戶點擊了某個特定位置時,他們其實點擊的是其他地方。
目前,系統安全研究人員還無法得知到底有多少用戶受到了這種攻擊的影響,但至少這一攻擊活動目前仍在持續進行中。這種瀏覽器鎖定技術已經有很多其他的網絡犯罪組織也在使用了,而且很多網絡攻擊工具也整合了這項技術。
隨著瀏覽器的不斷進化和升級,越來越多未記錄在文檔中的功能都將有可能會變成攻擊向量,攻擊者會想盡一切辦法來實現他們的目的,而保護終端用戶的重任又落在了誰的身上?現階段來古計算機提醒各位企業網絡安防工程師要密切關注這方面的安全信息、實時監測企業網絡安全狀況,以免受到不必要的損失。廣大瀏覽器使用者要提高上網的安全意識、勿亂點廣告和安裝插件。
