Las estafas de soporte técnico continúan siendo una de las principales amenazas para los consumidores en 2018, a pesar de las acciones de los proveedores de seguridad y las fuerzas del orden público. Los estafadores están constantemente buscando nuevas formas de atraer a más víctimas, yendo más allá de  las llamadas frías personificando a Microsoft  para desviar los anuncios de soporte técnico usando el buen nombre de las marcas legítimas y, por supuesto, ventanas emergentes maliciosas .

Hemos estado monitoreando durante un tiempo una campaña de estafa de soporte técnico en particular que, como muchos otros, confía en la publicidad maliciosa para redirigir a los usuarios a las bien conocidas páginas de lockers de navegador ( browlocks ). Si bien es común que los estafadores de esta industria reutilicen las plantillas de diseño, aún pudimos aislar los incidentes pertenecientes a este grupo que hemos estado siguiendo con el nombre de Partnerstroka.

Sin embargo, volvimos a ver la misma campaña recientemente y notamos que las páginas de alerta falsas contenían lo que parecía ser una nueva técnica de browlock diseñada específicamente para Google Chrome. En esta publicación de blog, compartimos algunos de nuestros hallazgos sobre este grupo y sus últimas técnicas.

Identificación

El casillero del navegador es típico de los que normalmente vemos, pero los delincuentes se han asegurado de que la mayoría de los navegadores y sistemas operativos estén cubiertos con su propia página de destino. Esto se determina al observar la cadena de agente de usuario cuando el cliente solicita la página al servidor malicioso. Se personaliza aún más a través de funciones de JavaScript que realizan la parte de «bloqueo» de la estafa.

Diferentes plantillas para el mismo dominio de browlock

El nombre con el que rastreamos esta campaña está inspirado en la cadena «stroka» que se encuentra dentro del código fuente HTML. Esa misma cadena (y código similar) también estaba presente en los » Browlock de policía » anteriores basados ​​en JavaScript que requerían que los usuarios pagaran una multa con cupones. Sin embargo, debido a que la reutilización de código es común entre los estafadores, es probable que sea un grupo completamente diferente.

Identificación de campaña a través de redirecciones, TLD y registrador

Los actores de amenazas usan docenas de cuentas de Gmail siguiendo un patrón algo predecible.

Correos electrónicos de registratarios vinculados a la campaña de Partnerstroka

Cada dirección de correo electrónico está ligada a varios dominios de browlock de .club  ( gTLD ) que varían de unos pocos a varios cientos y que  abusan de la plataforma de registro / hospedaje de GoDaddy, con quienes hemos compartido nuestra investigación.

Una vista de los dominios que pertenecen a una dirección de correo electrónico

Pudimos extraer más de 16,000 dominios maliciosos durante un período de varios meses, pero creemos que el número real es mucho mayor. De hecho, nuestra visibilidad de la profundidad de esta campaña se relacionó en parte con las direcciones de correo electrónico que habíamos catalogado y, desafortunadamente, las nuevas leyes de privacidad alrededor de los  registros Whois obstaculizaron nuestra investigación.

Distribución del tráfico

Observamos diferentes técnicas para redirigir a los usuarios desprevenidos a las páginas de browlock, aunque la publicidad maliciosa casi siempre era un elemento de la cadena. La probabilidad de ser redireccionado a uno de estos programas es mayor cuando se visitan sitios web que tienen prácticas publicitarias menos que óptimas.

BlackTDS

BlackTDS es un sistema de distribución de tráfico (TDS) utilizado por ladrones para entregar amenazas web y evitar el tráfico no deseado (es decir, no humanos reales). El tipo de tráfico que se genera varía desde los ataques de ingeniería social hasta las infecciones a través de kits de exploits.

El grupo Partnerstroka utilizó varias redes publicitarias para atraer a los visitantes a la página de browlock, a veces directamente, pero a menudo, a través de una  puerta .info .

Tráfico BlackTDS, publicidad maliciosa, puerta .info y .club browlock

Sitios de señuelo

Otra técnica que los actores de la amenaza aprovecharon fue la redirección a través de portales señuelo que realizan lo que llamamos «encubrimiento», un truco usado para servir contenido malicioso a ciertos tipos de usuarios y redirigir a otros (no objetivos) a una página benigna.

Tráfico de sitios señuelo que llevan a .club browlock

Redirects de Blogspot

También encontramos varios blogs alojados en Blogger (ahora propiedad de Google). Estos estaban vacíos o solo mostraban contenido limitado, y nuevamente, su propósito era redireccionar a las páginas de browlock.

Páginas de Rogue Blogspot utilizadas para redireccionamientos

Estudiando su cadena de redirección más de cerca, encontramos algo interesante en cómo se llamaba el dominio de browlock. Utilizaron una plataforma de marketing que respondería con el último dominio de browlock registrado:

Redirigir desde Blogspot al browlock

Malvertising a través de sitios inyectados

La mayoría de la actividad que estamos observando últimamente proviene de sitios web a los que se les ha añadido código de anuncios. Si bien algunos propietarios de sitios web hacen esto para monetizar su tráfico, se vuelve mucho más sospechoso cuando encontramos identificadores coincidentes de campañas publicitarias en dominios que aparentemente no tienen nada en común. Gracias a @ baberpervez2 por proporcionar cadenas recientes de publicidad maliciosa.

Taquilla del navegador para Edge en Windows 10 de una cadena maliciosa

El cursor malvado

Existen muchas técnicas documentadas diferentes que se pueden usar para evitar que los usuarios cierren una pestaña o ventana del navegador, y muchas veces son específicas de cada navegador. Por ejemplo, los usuarios de Edge y Firefox a menudo obtendrán la solicitud de autenticación requerida en un bucle, mientras que a los usuarios de Chrome se les proporcionarán cosas más desagradables, como intentos reales de congelar el navegador  o desencadenar miles de descargas .

A principios de septiembre, volvimos a encontrarnos con el grupo Partnerstroka y notamos que habían incorporado una técnica de bloqueo de navegador que funcionaba en contra de la última versión de Google Chrome (69.0.3497.81). De manera similar a otros trucos, impidió efectivamente el cierre de la página ofensiva porque el cursor del mouse había sido secuestrado.

Como se puede ver en la animación anterior, el punto rojo representa lo que el usuario realmente hace clic, aunque el cursor parece estar muy lejos. El código responsable de este comportamiento no deseado se puede encontrar en la etiqueta del cuerpo HTML:

Algunas líneas de código para alterar el cursor del mouse

El texto de Base64 decodifica a una imagen simple de un cursor de mouse de baja resolución, pero el bit importante es el píxel transparente de 128 × 128, que básicamente convierte el cursor en un cuadro grande. Reportamos este problema a través del portal de seguimiento de errores de Chromium , y la primera persona que respondió mostró el aspecto del cursor «maligno» personalizado:

El nuevo cursor muestra un cuadrado real (invisible)

Este es un ejemplo de muchos de esos trucos que se pueden utilizar contra los navegadores modernos. Muchas veces, las características que están bien documentadas o son más oscuras se convierten en vectores de ataque utilizados para engañar aún más a los usuarios finales, lo que hace que llamen a los estafadores para obtener ayuda. De hecho, el sonido de una alerta y un navegador que parece estar completamente bloqueado provoca pánico para muchas personas. Estas son esencialmente las mismas tácticas de miedo que se han usado por años y que aún funcionan bien.

Campañas similares

Hemos observado un aumento en las estafas de soporte técnico que abusan del registrador de NameCheap. Si bien no podemos identificar positivamente que este es también el grupo Partnerstroka (la reutilización de la página de destino entre los estafadores es una cosa), definitivamente comparten algunos rasgos comunes.

Nombre de dominio: ukxhdp [.] Club
URL del registrador: http://www.namecheap.com
Fecha de creación: 2018-08-21T15: 06: 23Z

Browlock usa el mismo truco de cursor con un dominio registrado a través de Namecheap

Nombre de dominio: descorservicesavailoffer [.] Club
URL del registrador: http://www.namecheap.com
Fecha de creación: 2018-08-22T12: 16: 07Z

Browlock alojado en el cubo AWS S3

Mitigaciones

Debido al tamaño y la naturaleza cambiante de la infraestructura entre las distintas campañas de los casilleros de los locker, la aplicación de un enfoque de dominio / base de datos de IP contra ellos no es una solución efectiva. A pesar de que ofrece cierta cobertura, los estafadores siempre están un paso adelante debido a su capacidad para registrar nuevos nombres de dominio (aún no detectados).

Aquí en Malwarebytes, abordamos este problema utilizando tanto la lista negra como, lo que es más importante, las técnicas heurísticas. Nuestra extensión de navegador (Beta) puede detectar y prevenir los bloqueos:

Browlock detenido a través de la extensión Malwarebytes

Las estafas de soporte técnico han estado sucediendo durante algún tiempo y han seguido varias tendencias a lo largo de los años. Si bien la ingeniería social es su principal ventaja, a menudo incorporan técnicas que ayudan con ese esfuerzo. Podemos esperar que los estafadores sigan ideando maneras inteligentes de interrumpir la experiencia de navegación y abusar de las plataformas de publicidad, registro y alojamiento a lo largo del camino.

Como defensores, también debemos enfrentar nuevos desafíos en el seguimiento de los actores amenazados que se benefician de los cambios planteados por las leyes de protección de la privacidad. A medida que nos adaptamos a estas nuevas realidades, compartir la inteligencia de amenazas con las partes involucradas se vuelve más importante que nunca para abordar el problema a una escala mayor.