0
0
Um conjunto elaborado de redirecionamentos e centenas de URLs compõem um amplo esquema de suporte técnico.
Uma sofisticada campanha de “browser locker” está se espalhando via Facebook, em última análise, empurrando um golpe de suporte técnico. O esforço é mais avançado do que a maioria, porque envolve a exploração de uma vulnerabilidade de scripting cross-site (XSS) em um site de notícias popular, disseram os pesquisadores.
Os armários do navegador são um tipo de ataque de redirecionamento onde os internautas clicarão em um site, apenas para serem enviados para uma página avisando-os que seu computador está infectado com “um vírus” ou malware. A página, então, normalmente insta os alvos a chamar um número na tela para “ajuda de suporte técnico”. Se eles caem nessa, eles estão conectados a um call center onde eles são solicitados a pagar uma taxa para “limpar” suas máquinas.
Em uma campanha recente e generalizada, os ciberatacantes estão usando o Facebook para distribuir links maliciosos que, em última análise, redirecionam para uma página de armário do navegador, de acordo com os pesquisadores. Os links podem ser propagados através de jogos do Facebook, observaram pesquisadores do Malwarebytes em um post delineando suas descobertas na quarta-feira.
“A campanha que analisamos parece usar exclusivamente links postados no Facebook, o que é bastante incomum considerando que os golpes tradicionalmente de suporte à tecnologia são espalhados por malvertising”, disse o pesquisador do Malwarebytes Jérôme Segura.
O Facebook emite um pop-up para os usuários, pedindo-lhes para confirmar o redirecionamento – mas o destino é obscurecido pelo fato de que o link é uma URL bit.ly encurtada, acrescentou.
No geral, a empresa descobriu 50 links bit.ly diferentes sendo usados para o golpe durante um período de três meses, “sugerindo que há rotação regular para evitar a lista negra”, disse Segura.
Vulnerabilidade XSS
O bit.ly URLs redirecionam para um site peruano chamado RPP, que é “perfeitamente legítimo e atrai mais de 23 milhões de visitas por mês”, disse Segura. Ele acrescentou que relatou essa questão ao Grupo RPP, mas não obteve resposta até o momento da publicação.
Ele descobriu que o site contém um bug XSS que permite um redirecionamento aberto. Redirecionamentos abertos acontecem quando os valores dos parâmetros (a parte da URL após “?”) em uma solicitação HTTP GET permitem informações que redirecionarão um usuário para um novo site sem qualquer validação de que o destino é pretendido ou legítimo. Assim, um invasor poderia manipular esse parâmetro para enviar uma vítima para uma página falsa, mas a ação parece ser uma ação legítima pretendida pelo site.
O fluxo de redirecionamento da campanha. Clique para ampliar. Fonte: Malwarebytes.
“Os atores de ameaças adoram abusar de redirecionamentos abertos, pois dá alguma legitimidade à URL que enviam às vítimas”, segundo os pesquisadores .
Neste caso, os atores de ameaça estão usando o bug XSS para carregar o código JavaScript externo do buddhosi[.] com.um domínio malicioso controlado pelos invasores, que substitui o código na URL para criar um redirecionamento.
“O JavaScript, por sua vez, cria o redirecionamento para a página de pouso do browlock usando o método de substituição()”, de acordo com a análise. O método de substituição() pesquisa uma sequência por um valor especificado e retorna uma nova sequência onde os valores especificados são substituídos.
Além de redirecionar os usuários para outros sites, um invasor poderia explorar o XSS para reescrever a página atual em qualquer coisa que eles gostassem, observou Segura.
De qualquer forma, a página final de landing do navegador-locker está hospedada em um dos cerca de 500 domínios “descartáveis” e nomeados aleatoriamente que usam uma variedade de domínios de alto nível novos (como .casa; .site; .space; .club; .icu; ou .bar).
Browser Locker
Uma vez que o usuário pousa na página do navegador-locker, ele faz impressões digitais no navegador do usuário para exibir uma mensagem apropriada ao contexto.
“Ele mostra uma animação imitando uma varredura de arquivos atuais do sistema e ameaça excluir o disco rígido após cinco minutos”, observou Segura. “Claro que tudo isso é falso, mas é convincente o suficiente para que algumas pessoas liguem para o número gratuito para assistência.”
Os números de telefone, como as páginas em si, também são volumosos. Os malwarebytes encontraram quase 40 números de telefone diferentes, e observou que provavelmente há muitos mais.
Em suma, a cadeia de eventos é complicada e abrangente o suficiente para ajudar os atores de ameaça a evitar serem desligados. O ângulo do Facebook também é experiente, disse Segura.
Como sempre, a melhor defesa contra esses tipos de golpes é a simples consciência.
Como ponto de partida, “os links postados nas plataformas de mídia social devem ser sempre examinados, pois são uma maneira comumente abusada para que golpistas e autores de malware redirecionem os usuários para conteúdo indesejável”, observou.
FONTE: THREATPOST