其他分享
首页 > 其他分享> > 技术支持垃圾邮件使用iframe“冻结”浏览器

技术支持垃圾邮件使用iframe“冻结”浏览器

作者:互联网

 ang010ela 嘶吼专业版

图片

研究人员近期发现一起新的技术支持垃圾邮件(technical support scam,TSS)活动,其中融合了基本弹窗认证和iframe来“冻结”用户的浏览器。因为该技术非常新颖,安全研究人员和产品并不熟悉,因此可能绕过检测。与其他TSS活动类似,恶意***活动将自己伪装成合法或知名品牌的服务提供商来引诱其受害者。本***活动中***者将自己伪装成微软的技术支持。

图片绕过技术

***活动中的URL是一个伪装成微软技术支持页的web页面。但该web页面隐藏了多种不同的函数。点击进入URL就会打开2个弹窗:一个要求进行用户认证,另外一个劝用户请求技术支持。然后用户就进入了一个循环。

点击认证弹窗的Cancel(取消)按钮就会返回到前面的URL。点击关闭或OK按钮并没有什么用,只是看着更新真实的技术支持页面而已。

图片

图1. ***活动中使用的伪造的用于冻结浏览器的微软支持页面

创建类似的循环并尝试冻结浏览器是TSS***活动中常用的方法。***活动中的该方法是用来冻结用户浏览器的。TSS***活动中,网络犯罪分子一般都使用基本的JS代码alert()和confirm()将用户陷入循环中,因为点击任意弹窗按钮都回进入相同的弹窗。

本***活动中使用的是iframes,一种嵌入HTML文档的HTML文件。在web页面的showLogin上可以设置iframe,使其在URL进入时出现。Iframe的源码或内容是认证页面URL,就会将用户返回到该URL。

图片

图2. 使用iframe的代码

image.png

图3. 循环中单独使用的useragent.php或authentication弹窗

这种技术就会将用户置于一个死循环中,不断地进入认证URL和弹窗中。TSS***活动就是利用冻结用户浏览器造成的恐慌使用户尽快采取应对措施,比如向页面上的技术支持电话求助,或按照伪造的技术支持页面中的建议进行响应动作。

这些URL还有一个特征就是可以根据浏览器的版本和类型显示不同的格式。具体的信息参见图4中的代码,***者使该***活动可以适应不同的浏览器。

image.png

图4.URL对不同浏览器展示不同格式的源代码

研究人员统计与该***活动相关的URL每天的最大访问量是575次,如表1所示。点击来自不同的URL,其他的绕过技术包括每12天修改一次IP地址等。目前还不能完全证明这些URL的传播方式,但根据之前TSS***活动的经验,都是通过广告来传播的。

image.png

图5. 与***活动相关的URL的点击量统计

image.png总结

TSS***的成功率是基于用户如何应对这些***技术的。比如,在这起***活动中,用户可以发现web页面的可以之处,比如不熟悉的URL、弹窗要求认证、以及其他信息和消息。

用户需要注意的是有很多种方法可以恢复浏览器,比如用任务管理器关闭浏览器。如果还是担心设备和系统的安全性,还可以使用其他合法的方法来确认系统的状态。

image.png


标签:浏览器,URL,用户,垃圾邮件,iframe,TSS,弹窗,页面
来源: https://blog.51cto.com/u_15127538/2703516