Впервые проблема «злой курсор» (evil cursor) была описана еще в 2010 году, однако лишь недавно, прошлой осенью, данный трюк стали активно применять мошенники. Так, в сентябре 2018 года эксперты компании Malwarebytes рассказали о мошеннической группе Partnerstroka, которая блокирует пользователей Google Chrome на сайтах фальшивой технической поддержки с помощью «злого курсора». По данным специалистов, уже на тот момент в этой операции участвовали более 16 000 вредоносных доменов, а атаки Partnerstroka продолжаются до сих пор.
С технической точки зрения «злой курсор» очень прост: мошенники подменяли стандартный курсор (32х32 пикселя) большим полем (128х128 пикселей). Привычный для пользователя курсор по-прежнему отображался на экране, и жертва попросту не видела большого прозрачного квадрата.
В итоге пользователь пытался кликнуть на различные элементы интерфейса Chrome, например, пытаться закрыть вкладку фальшивой техподдержки, но это не срабатывало, ведь пользователь кликал совсем не труда, где был установлен курсор. Проблему отлично иллюстрирует анимация ниже.
The ‘evil cursor’ is a simple and yet effective way for tech support scammers to achieve the browser locker effect. Bug report here: https://t.co/XK63djq6wH pic.twitter.com/zNcSc8ox9G
— Jérôme Segura (@jeromesegura) September 14, 2018
Однако на исправление столь простой проблемы потребовалось более полугода. Дело в том, что кастомные курсоры разрешены в браузерах, так как они часто используются в играх, и попросту запрещать их применение разработчики не хотели. В итоге, совместно со специалистами Malwarebytes, инженеры Google придумали иное решение проблемы.
Согласно баг репорту, Chrome будет автоматически отменять изменения курсора, возвращая ему стандартный вид, если пользователь держит курсор над определенными элементами интерфейса (панелью вкладок, адресной строкой, меню и так далее). Для остальной страницы курсор может оставаться кастомым. Таким образом, пользователи смогут без труда закрыть вредоносную вкладку и покинуть нежелательный сайт.
Эти изменения уже доступны для Google Canary и войдут в состав Chrome 75, релиз которого запланирован на конец весны.