Los estafadores de soporte técnico están reutilizando una técnica antigua en sus esquemas existentes de bloqueo de navegador ( browlock ) para forzar un tipo especial de descarga de archivos. Contrariamente a los ataques anteriores, donde el propósito era inundar la máquina con una gran cantidad de solicitudes de archivos para bloquear el navegador, esta es simplemente una estrategia de ingeniería social.
De hecho, la técnica inundaciones que abusa de la window.navigator.msSaveOrOpenBlob método, que nos informamos en este blog antes, ya se ha fijado en Google Chrome . Lo que vemos aquí, en cambio, es una combinación de un método HTML5 previamente explotado conocido como history.pushState () y la técnica de descarga Anchor .
Así es como funciona: los usuarios confiados reciben una falsa página de alerta de Microsoft mientras navegan por varios sitios web. Típicamente, la redirección se inicia por un (malicioso publicidad malvertising cadena).
La página intenta usar varios trucos para crear la impresión de bloqueo, por ejemplo, monitoreando los eventos del mouse y el teclado y forzándose a sí mismo en el modo de pantalla completa. Además, inicia una descarga automática de archivos llamada » Este es un VIRUS. Tu computadora está bloqueada» (sic) como se ve a continuación:
Este archivo es una copia del código HTML del bloqueador del navegador, por lo que podría decir que es de naturaleza maliciosa, pero no puede dañar la computadora como un virus o malware. Los estafadores simplemente están usando palabras fuertes para asustar a las posibles víctimas.
El código subyacente responsable de este comportamiento consiste en el uso de la biblioteca jQuery (jquery-3.3.1.min.js) y algunos bloques de JavaScript, comenzando con el elemento Anchor . Esto fue probablemente tomado y modificado de este Github Gist de 5 años de edad:
La segunda parte consiste en crear un bucle e interponer el método history.pushState :
Diferentes navegadores manejarán la descarga automática de archivos a su manera. Por ejemplo, Firefox solicitará a los usuarios varias veces la descarga del archivo falso:
Una vez más, vemos que los estafadores de soporte técnico continúan abusando de los navegadores usando técnicas básicas. Su eficacia se debe en gran parte al hecho de que se trata de características legítimas o estándares web que se utilizan de forma maliciosa.
Por esta razón, los proveedores de navegadores pueden tener dificultades para mitigar este tipo de ataques sin romper también los casos de uso legítimos. El bloqueo del navegador con el error de descargas infinitas que publicamos en el blog a principios de año aún no está resuelto en Mozilla Firefox.
La extensión del navegador Malwarebytes (Beta) mitiga estos armarios del navegador tanto para Chromecomo para Firefox
Sobre el autor