[[392780]]

Browser Locker(又名browlock)是一種在線威脅，它們使受害者無法正常使用瀏覽器，并以恐嚇的方式索要贖金。locker是一個偽造的頁面，它編造種種理由(如數(shù)據(jù)丟失、法律責(zé)任等)欺騙用戶撥打詐騙電話、進(jìn)行匯款轉(zhuǎn)賬或提供個人賬戶的詳細(xì)信息。“locking”包括防止用戶離開當(dāng)前選項卡，該選項卡會顯示一些通常帶有聲音和視覺效果的恐嚇消息。

這種類型的欺詐行為并不新鮮，并且早已引起研究人員的關(guān)注。在過去的十年中，針對全球用戶的browser locking活動屢見不鮮。盡管威脅已經(jīng)非常成熟，但它仍然保持著知名度。與此同時，詐騙者使用的欺騙手段的數(shù)量在不斷增加，其中包括模仿瀏覽器中的“死亡藍(lán)屏”(BSOD)，有關(guān)系統(tǒng)錯誤或?qū)z測到的病毒發(fā)出虛假警告，加密文件的威脅，法律責(zé)任通知等。在這篇文章中，我們研究了兩個模仿政府網(wǎng)站的locker家族。

傳播方式

這兩種locker類型主要通過廣告網(wǎng)絡(luò)傳播，其主要目的是以侵入性的方式出售成人內(nèi)容和電影。例如，當(dāng)加載帶有嵌入式廣告模塊(彈出窗口)的頁面或單擊頁面上的任何位置(單擊下方)后，通過在訪問站點頂部打開的選項卡或窗口進(jìn)行傳播。據(jù)推測，網(wǎng)絡(luò)犯罪分子會花錢買廣告，從而會在彈出窗口中顯示browser locker的內(nèi)容。

類型#1.偽裝成俄羅斯內(nèi)政部的虛假網(wǎng)站：“把錢給我們”

第一種locker類型模仿了俄羅斯內(nèi)政部(MVD)的網(wǎng)站，主要針對俄羅斯用戶。在2020年第四季度，超過55,000個用戶遇到了遇到了這種類型的詐騙。

受害者看到(和聽到)的內(nèi)容

在登陸到假的browlock網(wǎng)站上時，用戶通常會從瀏覽器中看到警告彈出，告訴他們?nèi)绻x開頁面，則可能無法保存某些更改。

如果用戶只是關(guān)閉選項卡，則什么也不會發(fā)生。但是如果他們單擊頁面上的任意位置，則locker的主要內(nèi)容將會擴展到全屏。接著，在用戶面前將會出現(xiàn)一個具有打開的瀏覽器的模擬電腦屏幕，底部是帶有Google Chrome圖標(biāo)的任務(wù)欄，頂部是一個顯示MVD真實URL的地址欄。頁面上的通知指出，該設(shè)備已因違反法律而被鎖定。網(wǎng)站以罰款為借口，指示受害人將一定數(shù)額的資金轉(zhuǎn)入移動帳戶，金額從3,000到10,000盧布不等(40-130美元)。如果拒絕的話，勒索軟件就以俄羅斯《刑法》第242條規(guī)定的刑事責(zé)任相威脅，并聲稱要將文件加密。該頁面還附有一段錄音，錄音威脅用戶要求他們支付罰款。

技術(shù)細(xì)節(jié)

騙子使用全屏模式使用戶難以訪問瀏覽器窗口控件和任務(wù)欄，并難以創(chuàng)建鎖定效果。另外，為了使受害者確信鼠標(biāo)無法響應(yīng)，攻擊者通過操縱CSS屬性cursor來隱藏光標(biāo)。

該頁面還使用以下代碼來處理擊鍵：

經(jīng)過模糊處理后，我們獲得了一個非常小的腳本：

可能是假設(shè)運行此代碼會導(dǎo)致Escape(keycode = 27)，Ctrl(keycode = 17)，Alt(keycode = 18)和Tab(keycode = 9)以及F1、F3、F4、F5和F12案件一樣不起作用，這樣可以防止用戶使用各種鍵盤快捷鍵離開頁面，但是這種方法在現(xiàn)代瀏覽器中不起作用。

另一個有趣的細(xì)節(jié)是假定的文件加密過程的動畫，如下面的屏幕截圖所示。它由無數(shù)個連續(xù)的隨機數(shù)字和字母組成，用于模擬系統(tǒng)目錄中據(jù)稱加密的文件的枚舉。

頁面地址

網(wǎng)絡(luò)犯罪分子通常使用字母數(shù)字域名，其中數(shù)字序列對應(yīng)于接近域名注冊日期的日期，字母序列為縮寫，例如“mpa”(俄語為“市政法律法案”的縮寫)或“kad”(“國土辦公室”)。欺詐性域名的示例：0402mpa21 [。] ru。

我們還看到了由基于主題的單詞組成的域名，例如“police”或“mvd”。網(wǎng)絡(luò)罪犯使用它們來模仿執(zhí)法機構(gòu)合法站點的地址比如mvd-ru [。] tech。

虛假MVD網(wǎng)站的移動版

這種威脅也存在于移動設(shè)備上。為了確定傳播期間的設(shè)備類型，請檢查HTTP請求header中的User-Agent字段。與“完整”版本一樣，受害人被指控違法并被罰款，然而相較于電腦版，移動端版本所勒索的數(shù)額要少得多。

類型#2.中東的偽造執(zhí)法網(wǎng)站：“請?zhí)峁┠目ǖ脑敿?xì)信息”

第二種勒索類型在把錢支付給勒索者的方式上有所不同。與以前一樣，用戶被指控違反法律，被告知他們的計算機已被鎖定，并被要求支付罰款。但是，網(wǎng)絡(luò)罪犯沒有留下他們的帳戶或電話號碼進(jìn)行支付，而是在頁面上插入一份數(shù)據(jù)輸入表格，要求用戶提供銀行卡的詳細(xì)信息。

該locker系列主要針對中東地區(qū)的用戶(阿聯(lián)酋、阿曼、科威特、卡塔爾和沙特阿拉伯)。此外，我們還看到偽裝成印度和新加坡執(zhí)法網(wǎng)站的勒索網(wǎng)頁，這種勒索方式在歐洲地區(qū)比較少見。

2020年第四季度，這種類型威脅了130,000多名用戶。

技術(shù)細(xì)節(jié)

從技術(shù)角度來看，第二種類型的browser locker在許多方面都類似于偽造的MVD網(wǎng)站。與第一種情況一樣，網(wǎng)頁內(nèi)容擴展為全屏顯示，使用戶難以訪問瀏覽器窗口控件和任務(wù)欄，頁面頂部是帶有官方政府資源URL的地址欄，底部是一個帶有Google Chrome圖標(biāo)的假任務(wù)欄。鼠標(biāo)指針無法顯示，并且勒索軟件使用與上面類似的腳本來處理擊鍵。除了輸入付款數(shù)據(jù)外，用戶無法進(jìn)行頁面上的任何操作。

下面的屏幕截圖顯示了一個模糊的腳本，該腳本實現(xiàn)了“鎖定”，并收集和發(fā)送用戶輸入的數(shù)據(jù)。

受害者的付款詳細(xì)信息通過HTTP POST請求傳輸?shù)酵泄茉擁撁娴耐粣阂赓Y源，下面的屏幕截圖是將付款詳細(xì)信息發(fā)送到惡意網(wǎng)站sslwebtraffic [。] cf的請求示例。

結(jié)論

此種威脅在技術(shù)上并不復(fù)雜。它們的功能相當(dāng)原始，旨在創(chuàng)建一種鎖定計算機的假象用以恐嚇受害者。只要不落入網(wǎng)絡(luò)犯罪分子的“煙幕彈”戰(zhàn)術(shù)，錯誤地登陸這樣一個頁面，用戶的設(shè)備和數(shù)據(jù)就不會遭到損害。更重要的是，擺脫locker不需要任何專門知識或技術(shù)手段。

但是，如果用戶受到蒙騙并感到恐慌，他們可能會遭受損失?？ò退够鉀Q方案以HEUR：Trojan.Script.Generic方案來預(yù)防惡意網(wǎng)絡(luò)資源和與威脅相關(guān)的文件(腳本、內(nèi)容元素)。

妥協(xié)指標(biāo)

假冒MVD網(wǎng)站

• 2301tiz21 [。] ru
• 112aubid [。] ru
• 00210kad [。] ru
• 1910mpa20 [。] ru
• mvd [。] pp [ .ru
• mvd [。] net [。] ru
• Police-online [。] info
• mvd-online-police [。] ga

假冒其他國家的執(zhí)法網(wǎng)站

• supportpayprogramarabicssn [。] ga
• tkkmobileinternetssnstop [。] ml
• tkkmobileinternetssnstopopen [。] gq
• amende-police-4412 [。] xyz
• gropirworldplssn [。] ga

本文翻譯自：https://securelist.com/browser-lockers-extortion-disguised-as-a-fine/101735/如若轉(zhuǎn)載，請注明原文地址。