Преступники, зарабатывающие на несуществующих проблемах пользователей, освоили новую технику, которая позволяет им скрытно встраивать поддельные системные уведомления на сайты. Вместо того чтобы обфусцировать код, злоумышленники догружают его через сторонние JavaScript-библиотеки. О находке сообщил специалист Malwarebytes Жером Сегура (Jérôme Segura).

Мошенничество с ложной поддержкой построено на запугивании пользователя якобы обнаруженными у него зловредами. Преступники выводят на экран жертвы текст-предупреждение и заманивают на свою страницу якобы для загрузки антивируса. В других случаях всплывающий баннер предлагает пользователю позвонить на горячую линию, после чего оператор подключается к компьютеру удаленно и сам устанавливает вредоносное ПО.

Чтобы подтолкнуть жертву к необходимым действиям, баннер может заблокировать браузер или помешать работе компьютера. Современные защитные системы распознают код таких уведомлений на интернет-страницах и блокируют их. Это заставляет злоумышленников идти на хитрость, скрывая его с помощью обфускации. Метод, обнаруженный Сегурой, позволяет перескочить этот этап.

Как пояснил аналитик, преступники спрятали код назойливого уведомления в сторонней JavaScript-библиотеке с зашифрованным содержимым. При загрузке страницы она скачивается с внешнего источника и сразу распаковывается, отображая вредоносный баннер. Таким образом, обнаружить его может только антивирусное ПО с функцией анализа JavaScript. Простой анализ HTML-кода не спасает от угрозы, поскольку в исходнике страницы нет чего-либо подозрительного.

Организаторы кампании также встроили в код поддельный идентификатор Google Analytics и использовали домен, похожий на Карты Google. По словам экспертов, таким образом преступники дразнят ИБ-специалистов. Эти меры также рассчитаны на то, чтобы рассеять возможные подозрения неподкованного пользователя, — на первый взгляд, скрипт обращается за легитимным содержимым.

Эксперты призывают не поддаваться на уловки мошенников и напоминают, что любое всплывающее уведомление можно просто закрыть. В самых тяжелых случаях для этого нужно завершить соответствующий процесс через Диспетчер задач Windows.

Ранее ФБР сообщило, что в 2017 году ущерб от ложной техподдержки превысил $15 млн. С 2015-го эта цифра выросла в 10 раз. Для борьбы с мошенниками Google планирует запретить в своих сервисах любую рекламу услуг по обслуживанию компьютеров — продвигать свой сервис смогут только авторизованные центры из белого списка.

Категории: Вредоносные программы, Мошенничество