0
0
Os pesquisadores de segurança do Malwarebytes identificaram uma nova campanha na qual os golpistas de suporte técnico estão explorando uma vulnerabilidade de scripting cross-site (XSS) e estão confiando exclusivamente em links postados no Facebook para alcançar vítimas em potencial.
O golpe começa com bit.ly links mal-intencionados que estão sendo distribuídos na plataforma de mídia social e que, em última análise, levam as vítimas pretendidas para uma página de armário do navegador. De acordo com o Malwarebytes, certos jogos e aplicativos no Facebook parecem ter sido abusados para a distribuição desses links.
Durante um período de três meses, os pesquisadores encontraram um total de 50 links bit.ly diferentes que estavam sendo usados nesta campanha. Isso, dizem eles, sugere que os golpistas de suporte técnico estavam mudando regularmente esses links para evitar a lista negra.
O bit.ly URLs desencadearia um redirecionamento de segunda etapa onde um site de notícias peruano (rpp[.] pe) contendo uma vulnerabilidade de scripting cross-site (XSS) é abusada para um redirecionamento aberto. O site legítimo tem mais de 23 milhões de visitas por mês.
“Além de redirecionar os usuários para outros sites, um invasor pode explorar o XSS para reescrever a página atual em qualquer coisa que eles gostem”, observa o Malwarebytes.
Neste ataque, o próximo passo envolve o código sendo passado para a URL para carregar o código JavaScript externo do domínio malicioso buddhosi[.] com. O script foi projetado para criar um redirecionamento para a página de aterrissagem do armário do navegador.
Inicialmente, os atacantes estavam carregando diretamente domínios de camuflagem de isca projetados para verificar o tráfego recebido e entregar o conteúdo malicioso apenas às vítimas legítimas. Mais tarde, na campanha, os atacantes adicionaram exploração da falha de redirecionamento aberto em vez disso.
No final da cadeia de redirecionamento, o usuário recebe um armário de navegador que mostra uma animação sugerindo que arquivos do sistema estão sendo digitalizados e ameaçando excluir o disco rígido após cinco minutos.
O truque é provavelmente convincente o suficiente para que algumas pessoas liguem para o número gratuito que está listado na página. Os malwarebytes identificaram aproximadamente 40 números de telefone diferentes usados na campanha, mas observa que a lista pode ser mais longa.
Os pesquisadores dizem que não ligaram para nenhum dos números, mas o próximo passo do golpe de suporte técnico é bem conhecido: a vítima é informada de que seu computador foi infectado e é instado a comprar imediatamente softwares ou serviços caros para limpar seu sistema.
FONTE: SECURITY WEEK