Хакер #305. Многошаговые SQL-инъекции
Исследователи компании Malwarebytes обнаружили, что операторы сайтов, предлагающих "услуги" фальшивой технической поддержки, начали применять новую тактику для запугивания своих жертв.
Теперь вместо аляповатых сообщений, настойчиво предупреждающих неискушенного пользователя о многочисленных уязвимостях и вирусах в его системе (разумеется, несуществующих в реальности), скамеры пошли дальше и стали использовать против пользователей браузера Chrome «download-бомбы».
Ведущий эксперт Malwarebytes Джером Сегура (Jérôme Segura) рассказывает, что злоумышленники используют методику JavaScript Blob и программный интерфейс window.navigator.msSaveOrOpenBlob. Данная тактика вынуждает браузер сохранять файлы на диске снова и снова, с такой скоростью, что через 5-10 секунд браузер перестает отвечать вовсе.
Как видно на анимации ниже, нагрузка на процессор в момент такой атаки составляет 100%, и пользователь оказывается буквально «блокирован» на вредоносном сайте. Чаще всего такие ресурсы запугивают пострадавшего, сообщая, что его компьютер не работает из-за вируса или некой другой проблемы, для разрешения которой нужно немедленно позвонить по номеру, указанному на экране. В приведенном ниже примере телефонный номер якобы принадлежит поддержке компании Microsoft.
Конечно, подобные атаки в первую очередь ориентированы на рядовых, «непродвинутых» пользователей. Сегура пишет, что для решения такой проблемы достаточно закрыть процесс Chrome через «Диспетчер задач» Windows. Так как после перезапуска браузер может попытаться восстановить вредоносную вкладку вместе с предыдущей сессией (в зависимости от настроек), ее так же нужно быстро закрыть.
При этом исследователь отмечает, что мошенники не впервые задействуют подобные методы, а значит, они по-прежнему эффективны. К примеру, ранее операторы фальшивой технической поддержки применяли ныне исправленный баг, связанный с history.pushState API. Эта проблема так же заставляла Chrome «зависнуть» на вредоносном сайте.