[[392780]]

Browser Locker(又名browlock)是一種在線威脅，它們使受害者無法正常使用瀏覽器，并以恐嚇的方式索要贖金。locker是一個偽造的頁面，它編造種種理由(如數據丟失、法律責任等)欺騙用戶撥打詐騙電話、進行匯款轉賬或提供個人賬戶的詳細信息。“locking”包括防止用戶離開當前選項卡，該選項卡會顯示一些通常帶有聲音和視覺效果的恐嚇消息。

這種類型的欺詐行為并不新鮮，并且早已引起研究人員的關注。在過去的十年中，針對全球用戶的browser locking活動屢見不鮮。盡管威脅已經非常成熟，但它仍然保持著知名度。與此同時，詐騙者使用的欺騙手段的數量在不斷增加，其中包括模仿瀏覽器中的“死亡藍屏”(BSOD)，有關系統錯誤或對檢測到的病毒發出虛假警告，加密文件的威脅，法律責任通知等。在這篇文章中，我們研究了兩個模仿政府網站的locker家族。

傳播方式

這兩種locker類型主要通過廣告網絡傳播，其主要目的是以侵入性的方式出售成人內容和電影。例如，當加載帶有嵌入式廣告模塊(彈出窗口)的頁面或單擊頁面上的任何位置(單擊下方)后，通過在訪問站點頂部打開的選項卡或窗口進行傳播。據推測，網絡犯罪分子會花錢買廣告，從而會在彈出窗口中顯示browser locker的內容。

類型#1.偽裝成俄羅斯內政部的虛假網站：“把錢給我們”

第一種locker類型模仿了俄羅斯內政部(MVD)的網站，主要針對俄羅斯用戶。在2020年第四季度，超過55,000個用戶遇到了遇到了這種類型的詐騙。

受害者看到(和聽到)的內容

在登陸到假的browlock網站上時，用戶通常會從瀏覽器中看到警告彈出，告訴他們如果離開頁面，則可能無法保存某些更改。

如果用戶只是關閉選項卡，則什么也不會發生。但是如果他們單擊頁面上的任意位置，則locker的主要內容將會擴展到全屏。接著，在用戶面前將會出現一個具有打開的瀏覽器的模擬電腦屏幕，底部是帶有Google Chrome圖標的任務欄，頂部是一個顯示MVD真實URL的地址欄。頁面上的通知指出，該設備已因違反法律而被鎖定。網站以罰款為借口，指示受害人將一定數額的資金轉入移動帳戶，金額從3,000到10,000盧布不等(40-130美元)。如果拒絕的話，勒索軟件就以俄羅斯《刑法》第242條規定的刑事責任相威脅，并聲稱要將文件加密。該頁面還附有一段錄音，錄音威脅用戶要求他們支付罰款。

技術細節

騙子使用全屏模式使用戶難以訪問瀏覽器窗口控件和任務欄，并難以創建鎖定效果。另外，為了使受害者確信鼠標無法響應，攻擊者通過操縱CSS屬性cursor來隱藏光標。

該頁面還使用以下代碼來處理擊鍵：

經過模糊處理后，我們獲得了一個非常小的腳本：

可能是假設運行此代碼會導致Escape(keycode = 27)，Ctrl(keycode = 17)，Alt(keycode = 18)和Tab(keycode = 9)以及F1、F3、F4、F5和F12案件一樣不起作用，這樣可以防止用戶使用各種鍵盤快捷鍵離開頁面，但是這種方法在現代瀏覽器中不起作用。

另一個有趣的細節是假定的文件加密過程的動畫，如下面的屏幕截圖所示。它由無數個連續的隨機數字和字母組成，用于模擬系統目錄中據稱加密的文件的枚舉。

頁面地址

網絡犯罪分子通常使用字母數字域名，其中數字序列對應于接近域名注冊日期的日期，字母序列為縮寫，例如“mpa”(俄語為“市政法律法案”的縮寫)或“kad”(“國土辦公室”)。欺詐性域名的示例：0402mpa21 [。] ru。

我們還看到了由基于主題的單詞組成的域名，例如“police”或“mvd”。網絡罪犯使用它們來模仿執法機構合法站點的地址比如mvd-ru [。] tech。

虛假MVD網站的移動版

這種威脅也存在于移動設備上。為了確定傳播期間的設備類型，請檢查HTTP請求header中的User-Agent字段。與“完整”版本一樣，受害人被指控違法并被罰款，然而相較于電腦版，移動端版本所勒索的數額要少得多。

類型#2.中東的偽造執法網站：“請提供您的卡的詳細信息”

第二種勒索類型在把錢支付給勒索者的方式上有所不同。與以前一樣，用戶被指控違反法律，被告知他們的計算機已被鎖定，并被要求支付罰款。但是，網絡罪犯沒有留下他們的帳戶或電話號碼進行支付，而是在頁面上插入一份數據輸入表格，要求用戶提供銀行卡的詳細信息。

該locker系列主要針對中東地區的用戶(阿聯酋、阿曼、科威特、卡塔爾和沙特阿拉伯)。此外，我們還看到偽裝成印度和新加坡執法網站的勒索網頁，這種勒索方式在歐洲地區比較少見。

2020年第四季度，這種類型威脅了130,000多名用戶。

技術細節

從技術角度來看，第二種類型的browser locker在許多方面都類似于偽造的MVD網站。與第一種情況一樣，網頁內容擴展為全屏顯示，使用戶難以訪問瀏覽器窗口控件和任務欄，頁面頂部是帶有官方政府資源URL的地址欄，底部是一個帶有Google Chrome圖標的假任務欄。鼠標指針無法顯示，并且勒索軟件使用與上面類似的腳本來處理擊鍵。除了輸入付款數據外，用戶無法進行頁面上的任何操作。

下面的屏幕截圖顯示了一個模糊的腳本，該腳本實現了“鎖定”，并收集和發送用戶輸入的數據。

受害者的付款詳細信息通過HTTP POST請求傳輸到托管該頁面的同一惡意資源，下面的屏幕截圖是將付款詳細信息發送到惡意網站sslwebtraffic [。] cf的請求示例。

結論

此種威脅在技術上并不復雜。它們的功能相當原始，旨在創建一種鎖定計算機的假象用以恐嚇受害者。只要不落入網絡犯罪分子的“煙幕彈”戰術，錯誤地登陸這樣一個頁面，用戶的設備和數據就不會遭到損害。更重要的是，擺脫locker不需要任何專門知識或技術手段。

但是，如果用戶受到蒙騙并感到恐慌，他們可能會遭受損失。卡巴斯基解決方案以HEUR：Trojan.Script.Generic方案來預防惡意網絡資源和與威脅相關的文件(腳本、內容元素)。

妥協指標

假冒MVD網站

• 2301tiz21 [。] ru
• 112aubid [。] ru
• 00210kad [。] ru
• 1910mpa20 [。] ru
• mvd [。] pp [ .ru
• mvd [。] net [。] ru
• Police-online [。] info
• mvd-online-police [。] ga

假冒其他國家的執法網站

• supportpayprogramarabicssn [。] ga
• tkkmobileinternetssnstop [。] ml
• tkkmobileinternetssnstopopen [。] gq
• amende-police-4412 [。] xyz
• gropirworldplssn [。] ga

本文翻譯自：https://securelist.com/browser-lockers-extortion-disguised-as-a-fine/101735/如若轉載，請注明原文地址。