Las estafas de soporte técnico continúan siendo una de las principales amenazas para los consumidores en 2018, a pesar de las acciones de los proveedores de seguridad y las fuerzas del orden público. Los estafadores están constantemente buscando nuevas formas de atraer a más víctimas, yendo más allá de las llamadas frías personificando a Microsoft para desviar los anuncios de soporte técnico usando el buen nombre de las marcas legítimas y, por supuesto, ventanas emergentes maliciosas .
Hemos estado monitoreando durante un tiempo una campaña de estafa de soporte técnico en particular que, como muchos otros, confía en la publicidad maliciosa para redirigir a los usuarios a las bien conocidas páginas de lockers de navegador ( browlocks ). Si bien es común que los estafadores de esta industria reutilicen las plantillas de diseño, aún pudimos aislar los incidentes pertenecientes a este grupo que hemos estado siguiendo con el nombre de Partnerstroka.
Sin embargo, volvimos a ver la misma campaña recientemente y notamos que las páginas de alerta falsas contenían lo que parecía ser una nueva técnica de browlock diseñada específicamente para Google Chrome. En esta publicación de blog, compartimos algunos de nuestros hallazgos sobre este grupo y sus últimas técnicas.
Identificación
El casillero del navegador es típico de los que normalmente vemos, pero los delincuentes se han asegurado de que la mayoría de los navegadores y sistemas operativos estén cubiertos con su propia página de destino. Esto se determina al observar la cadena de agente de usuario cuando el cliente solicita la página al servidor malicioso. Se personaliza aún más a través de funciones de JavaScript que realizan la parte de «bloqueo» de la estafa.
El nombre con el que rastreamos esta campaña está inspirado en la cadena «stroka» que se encuentra dentro del código fuente HTML. Esa misma cadena (y código similar) también estaba presente en los » Browlock de policía » anteriores basados en JavaScript que requerían que los usuarios pagaran una multa con cupones. Sin embargo, debido a que la reutilización de código es común entre los estafadores, es probable que sea un grupo completamente diferente.
Los actores de amenazas usan docenas de cuentas de Gmail siguiendo un patrón algo predecible.
Cada dirección de correo electrónico está ligada a varios dominios de browlock de .club ( gTLD ) que varían de unos pocos a varios cientos y que abusan de la plataforma de registro / hospedaje de GoDaddy, con quienes hemos compartido nuestra investigación.
Pudimos extraer más de 16,000 dominios maliciosos durante un período de varios meses, pero creemos que el número real es mucho mayor. De hecho, nuestra visibilidad de la profundidad de esta campaña se relacionó en parte con las direcciones de correo electrónico que habíamos catalogado y, desafortunadamente, las nuevas leyes de privacidad alrededor de los registros Whois obstaculizaron nuestra investigación.
Distribución del tráfico
Observamos diferentes técnicas para redirigir a los usuarios desprevenidos a las páginas de browlock, aunque la publicidad maliciosa casi siempre era un elemento de la cadena. La probabilidad de ser redireccionado a uno de estos programas es mayor cuando se visitan sitios web que tienen prácticas publicitarias menos que óptimas.
BlackTDS
BlackTDS es un sistema de distribución de tráfico (TDS) utilizado por ladrones para entregar amenazas web y evitar el tráfico no deseado (es decir, no humanos reales). El tipo de tráfico que se genera varía desde los ataques de ingeniería social hasta las infecciones a través de kits de exploits.
El grupo Partnerstroka utilizó varias redes publicitarias para atraer a los visitantes a la página de browlock, a veces directamente, pero a menudo, a través de una puerta .info .
Sitios de señuelo
Otra técnica que los actores de la amenaza aprovecharon fue la redirección a través de portales señuelo que realizan lo que llamamos «encubrimiento», un truco usado para servir contenido malicioso a ciertos tipos de usuarios y redirigir a otros (no objetivos) a una página benigna.
Redirects de Blogspot
También encontramos varios blogs alojados en Blogger (ahora propiedad de Google). Estos estaban vacíos o solo mostraban contenido limitado, y nuevamente, su propósito era redireccionar a las páginas de browlock.
Estudiando su cadena de redirección más de cerca, encontramos algo interesante en cómo se llamaba el dominio de browlock. Utilizaron una plataforma de marketing que respondería con el último dominio de browlock registrado:
Malvertising a través de sitios inyectados
La mayoría de la actividad que estamos observando últimamente proviene de sitios web a los que se les ha añadido código de anuncios. Si bien algunos propietarios de sitios web hacen esto para monetizar su tráfico, se vuelve mucho más sospechoso cuando encontramos identificadores coincidentes de campañas publicitarias en dominios que aparentemente no tienen nada en común. Gracias a @ baberpervez2 por proporcionar cadenas recientes de publicidad maliciosa.
El cursor malvado
Existen muchas técnicas documentadas diferentes que se pueden usar para evitar que los usuarios cierren una pestaña o ventana del navegador, y muchas veces son específicas de cada navegador. Por ejemplo, los usuarios de Edge y Firefox a menudo obtendrán la solicitud de autenticación requerida en un bucle, mientras que a los usuarios de Chrome se les proporcionarán cosas más desagradables, como intentos reales de congelar el navegador o desencadenar miles de descargas .
A principios de septiembre, volvimos a encontrarnos con el grupo Partnerstroka y notamos que habían incorporado una técnica de bloqueo de navegador que funcionaba en contra de la última versión de Google Chrome (69.0.3497.81). De manera similar a otros trucos, impidió efectivamente el cierre de la página ofensiva porque el cursor del mouse había sido secuestrado.
Como se puede ver en la animación anterior, el punto rojo representa lo que el usuario realmente hace clic, aunque el cursor parece estar muy lejos. El código responsable de este comportamiento no deseado se puede encontrar en la etiqueta del cuerpo HTML:
El texto de Base64 decodifica a una imagen simple de un cursor de mouse de baja resolución, pero el bit importante es el píxel transparente de 128 × 128, que básicamente convierte el cursor en un cuadro grande. Reportamos este problema a través del portal de seguimiento de errores de Chromium , y la primera persona que respondió mostró el aspecto del cursor «maligno» personalizado:

El nuevo cursor muestra un cuadrado real (invisible)
Este es un ejemplo de muchos de esos trucos que se pueden utilizar contra los navegadores modernos. Muchas veces, las características que están bien documentadas o son más oscuras se convierten en vectores de ataque utilizados para engañar aún más a los usuarios finales, lo que hace que llamen a los estafadores para obtener ayuda. De hecho, el sonido de una alerta y un navegador que parece estar completamente bloqueado provoca pánico para muchas personas. Estas son esencialmente las mismas tácticas de miedo que se han usado por años y que aún funcionan bien.
Campañas similares
Hemos observado un aumento en las estafas de soporte técnico que abusan del registrador de NameCheap. Si bien no podemos identificar positivamente que este es también el grupo Partnerstroka (la reutilización de la página de destino entre los estafadores es una cosa), definitivamente comparten algunos rasgos comunes.
Nombre de dominio: ukxhdp [.] Club URL del registrador: http://www.namecheap.com Fecha de creación: 2018-08-21T15: 06: 23Z
Nombre de dominio: descorservicesavailoffer [.] Club URL del registrador: http://www.namecheap.com Fecha de creación: 2018-08-22T12: 16: 07Z
Mitigaciones
Debido al tamaño y la naturaleza cambiante de la infraestructura entre las distintas campañas de los casilleros de los locker, la aplicación de un enfoque de dominio / base de datos de IP contra ellos no es una solución efectiva. A pesar de que ofrece cierta cobertura, los estafadores siempre están un paso adelante debido a su capacidad para registrar nuevos nombres de dominio (aún no detectados).
Aquí en Malwarebytes, abordamos este problema utilizando tanto la lista negra como, lo que es más importante, las técnicas heurísticas. Nuestra extensión de navegador (Beta) puede detectar y prevenir los bloqueos:
Las estafas de soporte técnico han estado sucediendo durante algún tiempo y han seguido varias tendencias a lo largo de los años. Si bien la ingeniería social es su principal ventaja, a menudo incorporan técnicas que ayudan con ese esfuerzo. Podemos esperar que los estafadores sigan ideando maneras inteligentes de interrumpir la experiencia de navegación y abusar de las plataformas de publicidad, registro y alojamiento a lo largo del camino.
Como defensores, también debemos enfrentar nuevos desafíos en el seguimiento de los actores amenazados que se benefician de los cambios planteados por las leyes de protección de la privacidad. A medida que nos adaptamos a estas nuevas realidades, compartir la inteligencia de amenazas con las partes involucradas se vuelve más importante que nunca para abordar el problema a una escala mayor.
Sobre el autor