技术支持垃圾邮件使用iframe“冻结”浏览器

栏目: Html · 发布时间: 5年前

研究人员近期发现一起新的技术支持垃圾邮件(technical support scam,TSS)活动,其中融合了基本弹窗认证和iframe来“冻结”用户的浏览器。因为该技术非常新颖,安全研究人员和产品并不熟悉,因此可能绕过检测。与其他TSS活动类似,恶意攻击活动将自己伪装成合法或知名品牌的服务提供商来引诱其受害者。本攻击活动中攻击者将自己伪装成微软的技术支持。

绕过技术

攻击活动中的URL是一个伪装成微软技术支持页的web页面。但该web页面隐藏了多种不同的函数。点击进入URL就会打开2个弹窗:一个要求进行用户认证,另外一个劝用户请求技术支持。然后用户就进入了一个循环。

点击认证弹窗的Cancel(取消)按钮就会返回到前面的URL。点击关闭或OK按钮并没有什么用,只是看着更新真实的技术支持页面而已。

技术支持垃圾邮件使用iframe“冻结”浏览器

图1. 攻击活动中使用的伪造的用于冻结浏览器的微软支持页面

创建类似的循环并尝试冻结浏览器是TSS攻击活动中常用的方法。攻击活动中的该方法是用来冻结用户浏览器的。TSS攻击活动中,网络犯罪分子一般都使用基本的JS代码alert()和confirm()将用户陷入循环中,因为点击任意弹窗按钮都回进入相同的弹窗。

本攻击活动中使用的是iframes,一种嵌入HTML文档的HTML文件。在web页面的showLogin上可以设置iframe,使其在URL进入时出现。Iframe的源码或内容是认证页面URL,就会将用户返回到该URL。

技术支持垃圾邮件使用iframe“冻结”浏览器

图2. 使用iframe的代码

技术支持垃圾邮件使用iframe“冻结”浏览器

图3. 循环中单独使用的useragent.php或authentication弹窗

这种技术就会将用户置于一个死循环中,不断地进入认证URL和弹窗中。TSS攻击活动就是利用冻结用户浏览器造成的恐慌使用户尽快采取应对措施,比如向页面上的技术支持电话求助,或按照伪造的技术支持页面中的建议进行响应动作。

这些URL还有一个特征就是可以根据浏览器的版本和类型显示不同的格式。具体的信息参见图4中的代码,攻击者使该攻击活动可以适应不同的浏览器。

技术支持垃圾邮件使用iframe“冻结”浏览器

图4.URL对不同浏览器展示不同格式的源代码

研究人员统计与该攻击活动相关的URL每天的最大访问量是575次,如表1所示。点击来自不同的URL,其他的绕过技术包括每12天修改一次IP地址等。目前还不能完全证明这些URL的传播方式,但根据之前TSS攻击活动的经验,都是通过广告来传播的。

技术支持垃圾邮件使用iframe“冻结”浏览器

图5. 与攻击活动相关的URL的点击量统计

总结

TSS攻击的成功率是基于用户如何应对这些攻击技术的。比如,在这起攻击活动中,用户可以发现web页面的可以之处,比如不熟悉的URL、弹窗要求认证、以及其他信息和消息。

用户需要注意的是有很多种方法可以恢复浏览器,比如用任务管理器关闭浏览器。如果还是担心设备和系统的安全性,还可以使用其他合法的方法来确认系统的状态。


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

程序与法治

程序与法治

孙洪坤 / 中国检察 / 2008-3 / 28.00元

《程序与法治》是系统和全面地研究程序与法治国家建设思想的学术专著,《程序与法治》对程序与法治的若干重大理论与现实问题进行了深入的探讨,如:从法社会学的视角研究程序正义在中国的可适应性问题;程序正义的中国语境;正当程序的宪政价值与构造;正当程序的文化底蕴;中国刑事程序正当化设计的标准、设计的基调、设计的视角;等等。尽管其中某些问题的研究尚待进一步深入,但这些问题的提出有利于开阔我们研究程序法理论的视......一起来看看 《程序与法治》 这本书的介绍吧!

MD5 加密
MD5 加密

MD5 加密工具

正则表达式在线测试
正则表达式在线测试

正则表达式在线测试

RGB HSV 转换
RGB HSV 转换

RGB HSV 互转工具