近期,研究人员发现了一种新型的技术支持诈骗技术,攻击者可以利用这种技术来劫持Google Chrome用户的浏览会话。
想必大家对技术支持诈骗不会感到陌生,微软Windows的技术支持站点就是很多攻击者的主要诈骗工具,很多钓鱼攻击以及网络诈骗活动都会利用这种这类技术支持站点来感染目标用户的主机。
其中就包括搜索引擎感染和恶意广告攻击,攻击者通常都会利用这种“合法载体”来传播他们的恶意软件或间谍软件Payload。
除此之外,浏览器锁定技术也是技术支持诈骗需要使用到的一项技术。这种技术主要是将目标用户重定向到一个“锁定浏览”的界面,并强制让目标用户观看一段用于实现“恶意广告欺诈”目的的小视频。最终,浏览器的弹窗将有可能导致目标用户的主机死机或系统崩溃。
在这个过程中,攻击者可能会给目标用户发送“您的PC已感染病毒”之类的弹窗,然后再弹出多个“技术支持”窗口来“帮助”目标用户解决“问题”。此时,攻击者会尝试向目标用户推销所谓的“反病毒产品”,而其实这些产品就是他们用来获取目标主机远程访问权的恶意软件。
其中一种典型的技术支持诈骗技术就是Partnerstroka,反病毒解决方案提供商Malwarebytes已经跟踪并观察这一网络诈骗活动很久了,而这种技术近期又引入了一种劫持浏览器会话的新方法。
研究人员表示,这种攻击技术名叫“恶意光标”,这种攻击活动会将目标用户重定向到一个嵌入了新型浏览器锁定技术的伪造页面。值得一提的是,这种技术主要针对的是最新版本Google Chrome浏览器,版本号为69.0.3497.81。
攻击者会通过多个不同的恶意广告网络以及恶意链接来将目标用户重定向至恶意域名,研究人员发现,在这个活动中总共涉及到了16000多个恶意域名。
一般来说,在网络诈骗活动中,攻击者在实现浏览器锁定时主要利用的都是JavaScript函数。但是“恶意光标”技术与其他技术不同的地方就在于,它为了防止目标用户关闭浏览器页面,它劫持了目标用户的鼠标。用户点击了“关闭”按钮之后,他们可能以为自己已经关闭页面了,但由于他们的鼠标已经被劫持了,所以他们点击的其实是其他地方。
这种技术主要利用的是Chrome浏览器的一个漏洞,而这种漏洞是由于HTML代码无法正确解码低分辨率鼠标光标所导致的。它会将光标变成一个128x128像素的透明“大方框”,当用户点击了某个特定位置时,他们其实点击的是其他地方。
目前,研究人员还无法得知到底有多少用户受到了这种攻击的影响,但至少这一攻击活动目前仍在持续进行中。研究人员还发现,这种浏览器锁定技术已经有很多其他的网络犯罪组织也在使用了,而且很多网络攻击工具也整合了这项技术。
随着浏览器的不断进化和升级,越来越多未记录在文档中的功能都将有可能会变成攻击向量,攻击者会想尽一切办法来实现他们的目的,而保护终端用户的重任又落在了谁的身上?
*参考来源:zdnet,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM