Browser Locker 重定向攻击利用新闻网站上 XSS 漏洞攻击 Facebook

精心设计的重定向和数百个URL构成了范围广泛的技术支持骗局。

复杂的“浏览器Locker”活动正在Facebook上传播，最终推动了技术支持骗局。研究人员说，这项工作比大多数工作都要先进，因为它涉及利用流行新闻网站上的跨站点脚本（XSS）漏洞。

浏览器Locker 是一种重定向攻击，网络冲浪者将在该站点上单击，然后仅发送到页面，警告他们计算机感染了“病毒”或恶意软件。然后，该页面通常会敦促目标用户在屏幕上拨打电话以获取“技术支持帮助”。如果他们不满意，他们会连接到呼叫中心，在呼叫中心，他们需要付费以“clean”他们的机器。

据研究人员称，在最近的一项广泛活动中，网络攻击者正在使用Facebook分发恶意链接，这些链接最终会重定向到浏览器更衣页。Malwarebytes的研究人员在周三概述其发现的帖子中指出，这些链接可能通过Facebook游戏传播。

Malwarebytes研究员JérômeSegura表示：“我们查看的广告活动似乎仅使用Facebook上发布的链接，考虑到传统上技术支持骗局是通过恶意广告传播的，因此这是非常不寻常的，”

他补充说，Facebook向用户发布了一个弹出窗口，要求他们确认重定向。但是，由于链接的URL地址略短，因此目的地被遮住了。

Segura说，总体而言，该公司在三个月的时间内发现了50个不同的bit.ly链接用于该骗局，“建议定期进行轮换以避免将其列入黑名单。”

XSS漏洞

Segura说，这些bit.ly URL重定向到一个名为RPP的Peruvian网站，该网站“完全合法，每月吸引2300万访问量”。他补充说，他已向Grupo RPP报告了此问题，但在发布时尚未得到回复。

他发现该站点包含一个XSS漏洞，该漏洞允许进行开放重定向。当HTTP GET请求中的参数值（URL中“？”之后的部分）允许将用户重定向到新网站的信息时，无需进行任何目标或合法目的的验证，就会发生开放重定向。因此，攻击者可以操纵该参数将受害者发送到虚假页面，但是该操作似乎是网站意图的合法操作。

活动的重定向流

研究人员说：“威胁演员喜欢滥用开放重定向，因为它使发送受害者的URL具有合法性。”

在这种情况下，威胁行动者正在使用XSS错误从buddhosi [.] com（受攻击者控制的恶意域）加载外部JavaScript代码，该网站将URL中的代码替换为重定向来创建重定向。

根据分析，“ JavaScript依次使用replace（）方法创建了到Browlock登录页面的重定向。” 方法的作用是：在字符串中搜索指定值，然后返回替换指定值的新字符串。

Segura指出，除了将用户重定向到其他站点之外，攻击者还可以利用XSS将当前页面重写为他们喜欢的任何内容。

无论如何，最终的浏览器锁登录页面托管在大约500个“一次性”和随机命名的域名中，这些域名使用各种新的顶级域名(如.casa、.site、.space、.Club、.icu或.bar)。

Browser Locker

用户进入浏览器锁定器页面后，便会为用户的浏览器添加指纹，以显示适合上下文的消息。

Segura指出：“它显示了模仿当前系统文件扫描的动画，并威胁要在五分钟后删除硬盘驱动器。” “当然这都是假的，但令人信服的是，有人会拨打免费电话寻求帮助。”

电话号码，就像页面本身一样，也很多。恶意软件字节找到了近40个不同的电话号码，并指出可能还会更多。

总而言之，事件链非常复杂且范围广泛，足以帮助威胁行为者避免被关闭。Segura说，Facebook的角度也很精明。

一如既往，针对这些类型的骗局的最佳防御方法就是简单地认知。

作为起点，“发布到社交媒体平台上的链接应始终受到审查，因为它们是骗子和恶意软件作者将用户重定向到不良内容上的普遍滥用方式，”他指出。