Browser Locker(别名browlock)是一种线上危害,他们使受害者没法正常的应用电脑浏览器,并以吓唬的形式索取赎金。locker是一个仿冒的网页页面,它编造诸多原因(如数据丢失、法律依据等)蒙骗客户拨通诈骗电话、开展汇钱转帐或给予个人帐户的详细资料。“locking”包含避免客户离去现阶段菜单栏,该选项卡会表明一些通常含有响声和空间感的吓唬信息。
这类类别的欺骗个人行为并不新鮮,而且早就造成科学研究员工的关心。在过去的的十年中,对于全球客户的browser locking主题活动司空见惯。虽然危害早已十分完善,但它依然维持着名气。此外,诈骗犯应用的蒙骗方式的总量在持续提升,主要包括效仿电脑浏览器中的“身亡电脑蓝屏”(BSOD),相关系统异常或对监测到的病毒感染传出虚报警示,加密文件的危害,法律依据通告等。在这篇文章中,大家科学研究了2个效仿政府门户网站的locker大家族。
传播效果
这二种locker种类关键根据广告宣传媒体传播,其首要目标是以入侵性的形式售卖成人内容和影片。例如,当载入含有内嵌式广告宣传控制模块(弹出广告)的网页页面或点击网页页面上的所有部位(点击下边)后,根据在浏览网站顶端开启的菜单栏或对话框开展散播。据推断,互联网犯罪嫌疑人会掏钱买广告宣传,进而会在弹出广告中表明browser locker的內容。
种类#1.装扮成俄国内务部的虚报网址:“把钱给大家”
第一种locker种类效仿了俄国内务部(MVD)的网址,关键对于俄国客户。在2020年第四季度,超出55,000个客户碰到了遇到了这类类别的行骗。
受害者见到(和听见)的內容
在登录到假的browlock网站处时,客户通常会从电脑浏览器中见到警示弹出来,告知她们假如离去网页页面,则很有可能无法保存一些变更。
假如客户仅仅关掉菜单栏,则哪些也不会产生。可是假如她们点击网页页面上的任一部位,则locker的具体内容可能拓展到全屏幕。然后,在客户眼前可能产生一个具备开启的电脑浏览器的仿真模拟电脑显示屏,底端是含有Google Chrome标志的任务栏图标,顶端是一个表明MVD真正URL的搜索框。网页页面上的通告强调,该机器设备已因违背法律法规而被锁住。网址以处罚为托词,标示受害者将一定额度的资产转到挪动账号,额度从3,000到10,000美元不一(40-130美金)。假如回绝得话,勒索病毒就以俄国《刑法》第242条规范的法律责任相威胁,并扬言要将文件加密。该网页页面还附带一段音频,录音危害客户规定她们付款处罚。
关键技术
骗人应用全屏幕方式使客户无法浏览电脑浏览器对话框控制和任务栏图标,并无法建立锁住实际效果。此外,为了更好地使受害者相信电脑鼠标没法回应,网络攻击根据控制CSS特性cursor来掩藏鼠标光标。
该网页页面还应用下面编码来解决击键:
通过模糊不清解决后,大家获取了一个特别小的脚本制作:
可能是假定运作此编码会造成Escape(keycode = 27),Ctrl(keycode = 17),Alt(keycode = 18)和Tab(keycode = 9)及其F1、F3、F4、F5和F12案子一样失灵,那样可以避免客户应用各种各样快捷键离去网页页面,可是这个方式 在当代电脑浏览器中失灵。
另一个有意思的关键点是假设的文件加密全过程的动漫,如下边的屏幕截屏所显示。它由无数持续的随机数字和英文字母构成,用以系统模拟文件目录中据悉数据加密的资料的枚举类型。
网页页面详细地址
互联网犯罪嫌疑人通常应用英文字母数字域名,在其中数据编码序列相匹配于贴近注册域名日期的日期,英文字母编码序列为简称,例如“mpa”(德语为“市政工程法律法规法令”的简称)或“kad”(“土地公司办公室”)。非法行为网站域名的实例:0402mpa21 [。] ru。
大家还看到了由根据主题风格的英语单词构成的网站域名,例如“police”或“mvd”。互联网犯罪分子应用他们来效仿稽查组织合理合法网站的详细地址例如mvd-ru [。] tech。
虚报MVD网址的移动版
这类危害也出现于直接使用移动端访问普通的网站,会因移动端宽度的限制因素,导致访问者需要左右滑动,以及放大的操作,才能上。为了更好地明确散播期内的设施种类,请查验HTTP要求header中的User-Agent字段名。与“详细”版本号一样,受害者被控告违反规定并被处罚,殊不知相比于电脑版本,手机端版本号所敲诈勒索的金额要少得多。
种类#2.中东地区的仿冒稽查网址:“请出示您的卡的详细资料”
第二种敲诈勒索种类在把钱付款给敲诈勒索者的形式上各有不同。与之前一样,客户被控告违背法律法规,被告之她们的电子计算机已被锁住,并被规定付款处罚。可是,互联网犯罪分子沒有留有它们的账号或联系电话开展付款,反而是在界面上插进一份数据信息键入报表,规定客户给予储蓄卡的详细资料。
该locker系列产品关键对于中东国家的客户(迪拜、阿曼、科威特、卡塔尔和沙特)。除此之外,大家还见到装扮成印度的和马来西亚稽查网址的敲诈勒索网页页面,这类敲诈勒索方法在欧美地区较为罕见。
2020年第四季度,这类种类危害了130,000多位客户。
关键技术
从工艺方面看来,第二种种类的browser locker在很多领域都类似仿冒的MVD网址。与第一种状况一样,网页页面拓展为全屏显示,使客户无法浏览电脑浏览器对话框控制和任务栏图标,网页页面顶端是含有官方网政府部门資源URL的搜索框,底端是一个含有Google Chrome标志的假任务栏图标。鼠标指针不显示,而且勒索病毒应用与上边相近的脚本制作来解决击键。除开键入支付数据信息外,客户没法开展网页页面上的其他实际操作。
下边的屏幕截屏表明了一个朦胧的脚本制作,该脚本完成了“锁住”,并搜集和推送客户键入的数据信息。
受害者的支付详细资料根据HTTP POST要求传送到代管该网页页面的同一故意資源,下边的截屏是将支付详细资料发送至恶意网站sslwebtraffic [。] cf的要求实例。
结果
此类危害从技术上并不繁杂。他们的作用非常初始,致力于建立一种锁定计算机的错觉用于吓唬受害者。只需不掉入互联网犯罪嫌疑人的“烟幕弹”战略,不正确地登录那样一个网页页面,客户的机器设备和数据信息就不易遭受危害。更主要的是,解决locker不用一切鉴定人或方式方法。
可是,假如客户遭受欺骗并觉得焦虑,她们也许会受到损害。诺顿杀毒软件解决方法以HEUR:Trojan.Script.Generic计划方案来防止故意互联网资源和与危害有关的文档(脚本制作、內容原素)。
让步指标值
仿冒MVD网址
- 2301tiz21 [。] ru
- 112aubid [。] ru
- 00210kad [。] ru
- 1910mpa20 [。] ru
- mvd [。] pp [ .ru
- mvd [。] net [。] ru
- Police-online [。] info
- mvd-online-police [。] ga
仿冒其他国家的稽查网址
- supportpayprogramarabicssn [。] ga
- tkkmobileinternetssnstop [。] ml
- tkkmobileinternetssnstopopen [。] gq
- amende-police-4412 [。] xyz
- gropirworldplssn [。] ga
文中翻譯自:https://securelist.com/browser-lockers-extortion-disguised-as-a-fine/101735/倘若转截,请标明全文详细地址。