Блокировщики браузеров вооружились новой техникой обфускации

Специалист ИБ-компании Malwarebytes Джером Сегура (Jérôme Segura) рассказал об используемой блокировщиками браузеров новой технике обфускации. Новый метод был взят на вооружение мошенниками, выдающими себя за техподдержку, для блокировки браузеров жертв в обход обнаружения.

Блокировщики браузеров как правило используются мошенниками для «заморозки» браузера и блокировки доступа к компьютеру или навигации по сайтам. Заблокировав браузер, злоумышленники обманом заставляют жертву обратиться в «техподдержку», позвонив на принадлежащий мошенникам телефонный номер, заплатить выкуп или установить вредоносное расширение для дальнейшего заражения компьютера.

В отличие от большинства подобных блокировщиков, обнаруженный Сегурой блокировщик не спрятан на странице-приманке и не использует заурядные техники обфускации с помощью шифров BASE 64 или hex. Этот блокировщик переводит обфускацию на совершенно новый уровень, загружая свой код с другого места, а не со страницы-приманки.

Блокировка браузера происходит после загрузки, расшифровки и выполнения кода блокировщика «на лету». Более того, после загрузки страницы с блокировщиком браузер загружает JavaScript-библиотеку Zepto.js с API, совместимым с jQuery, а также библиотеку base64.min.js для расшифровки в режиме реального времени контента, зашифрованного Base64.

Код блокировщика загружается с помощью запроса GET из файла source.php, хранящегося на одном сервере со страницей-приманкой, расшифровывается в памяти и выполняется браузером, после чего браузер блокируется.

Источник