Armadilhas no navegador: extorsão disfarçada de multas

Um armário é uma página falsa que engana o usuário, sob um pretexto fictício (perda de dados, responsabilidade legal, etc.), fazendo uma ligação ou uma transferência de dinheiro, ou fornecendo detalhes de pagamento. O “travamento” consiste em evitar que o usuário saia da aba atual, que exibe mensagens intimidadoras, muitas vezes com efeitos sonoros e visuais.

Esse tipo de fraude não é novo e está há muito tempo no radar dos pesquisadores. A última década viu inúmeras campanhas de bloqueio de navegador direcionadas a usuários em todo o mundo. Apesar de sua idade madura, a ameaça não perdeu nada de sua popularidade; pelo contrário, o número de truques usados por golpistas só está crescendo. Eles incluem imitar a “tela azul da morte” (BSOD) no navegador, avisos falsos sobre erros do sistema ou vírus detectados, ameaças para criptografar arquivos, avisos de responsabilidade legal e muitos outros. Nesta postagem, examinamos duas famílias de armários que imitam sites do governo.

Métodos de propagação

Ambas as famílias se espalharam principalmente por meio de redes de publicidade, destinadas principalmente à venda de conteúdo “adulto” e filmes de forma invasiva; por exemplo, por meio de guias ou janelas que se abrem no topo do site visitado ao carregar uma página com um módulo de anúncio incorporado (pop-ups) ou depois de clicar em qualquer lugar da página (click-unders). Presumivelmente, os cibercriminosos pagam por anúncios para mostrar os armários do navegador em pop-ups.

Sites falsos do Ministério de Assuntos Internos da Rússia: “Dê-nos seu dinheiro”

Os membros da primeira família em consideração imitam o site do Ministério de Assuntos Internos da Rússia (MVD) e, portanto, são direcionados aos usuários da Rússia. No quarto trimestre de 2020, mais de 55.000 usuários os encontraram.

O que a vítima vê (e ouve)

Ao acessar um site de browlock falso, o usuário normalmente vê um aviso, supostamente do navegador, dizendo que, se ele sair da página, algumas alterações podem não ser salvas.

Se o usuário simplesmente fechar a guia, nada acontecerá; mas se eles clicarem em qualquer lugar da página, o conteúdo principal do armário se expandirá para a tela inteira. Como resultado, uma imitação de tela de computador com um navegador aberto aparece na frente do usuário: na parte inferior está uma barra de tarefas com o ícone do Google Chrome, e na parte superior está uma barra de endereço exibindo o URL real do MVD. A notificação na página informa que o dispositivo foi bloqueado devido a uma violação da lei. Sob o pretexto de uma multa, a vítima é instruída a transferir uma certa quantia para uma conta de celular, cujo tamanho varia de 3.000 a 10.000 rublos (US $ 40-130). Em caso de recusa, os resgatadores ameaçam a criptografia de arquivos, bem como a responsabilidade criminal nos termos do Artigo 242 do Código Penal Russo. A página é acompanhada de uma gravação de áudio com ameaças e um pedido de pagamento da multa.

Detalhes técnicos

Os golpistas usam o modo de tela inteira para dificultar o acesso do usuário aos controles da janela do navegador e à barra de tarefas, e para criar um efeito de bloqueio. Além disso, para convencer a vítima de que o mouse não responde, os atacantes escondem o cursor manipulando o cursor da propriedade CSS .

A página também usa o seguinte código para lidar com os pressionamentos de tecla:

Provavelmente foi assumido que a execução deste código resultaria na ignorância dos pressionamentos de tecla Escape (keycode = 27), Ctrl (keycode = 17), Alt (keycode = 18) e Tab (keycode = 9), bem como F1, F3, F4, F5 e F12. Isso pode impedir que o usuário saia da página usando vários atalhos de teclado, mas o truque não funciona em navegadores modernos.

Outro detalhe interessante é a animação do suposto processo de criptografia do arquivo, que é mostrada nas capturas de tela abaixo. Consiste em uma sucessão infinita de números e letras aleatórios, simulando a enumeração de arquivos supostamente criptografados no diretório do sistema.

Endereços de página

Os cibercriminosos costumam usar nomes de domínio alfanuméricos, em que a sequência numérica corresponde a uma data próxima à data de registro do domínio e a sequência de letras é uma abreviatura, por exemplo, "mpa" (a abreviatura russa para "ato legal municipal") ou "kad" (“Escritório cadastral”). Exemplo de domínio fraudulento: 0402mpa21 [.] Ru.

Também vimos nomes de domínio compostos por palavras baseadas em tópicos, como “polícia” ou “mvd”. Os cibercriminosos os usam para imitar os endereços de sites legítimos de agências de aplicação da lei. Um exemplo de tal domínio é mvd-ru [.] Tech.

Versão móvel de sites falsos de MVD

A ameaça também existe em dispositivos móveis. Para determinar o tipo de dispositivo durante a propagação, o campo User-Agent no cabeçalho da solicitação HTTP é verificado. Como no caso da versão “integral”, a vítima é acusada de infringir a lei e condenada ao pagamento de multa; a quantidade, porém, é menor do que na versão desktop.

Sites falsos de aplicação da lei no Oriente Médio: “Dê-nos os detalhes do seu cartão”

A segunda família difere na maneira como o dinheiro é transferido para os resgatadores. Como antes, o usuário é acusado de violar a lei, informado que seu computador foi bloqueado e instruído a pagar multa. No entanto, em vez de deixar sua conta ou número de telefone para o pagamento, os cibercriminosos inserem um formulário de entrada de dados na página solicitando os detalhes do cartão.

Esta família de armários é voltada principalmente para usuários no Oriente Médio (Emirados Árabes Unidos, Omã, Kuwait, Catar e Arábia Saudita). Além disso, vimos páginas fraudulentas disfarçadas como sites de aplicação da lei da Índia e de Cingapura. Equivalentes europeus são ligeiramente menos comuns.

No quarto trimestre de 2020, essa família ameaçou mais de 130.000 usuários.

Detalhes técnicos

Do ponto de vista técnico, os armários do navegador do segundo tipo são, em muitos aspectos, semelhantes aos sites MVD falsos. Como no primeiro caso, o conteúdo se expande para tela inteira para dificultar o acesso do usuário aos controles da janela do navegador e à barra de tarefas. Na parte superior da página, há uma barra de endereço com o URL do recurso oficial do governo e, na parte inferior, uma barra de tarefas falsa com o ícone do Google Chrome. O ponteiro do mouse não é exibido e um script semelhante ao anterior é usado para manipular os pressionamentos de tecla. Além de inserir os dados de pagamento, nenhuma ação na página fica disponível para o usuário.

Os detalhes de pagamento da vítima são transferidos por meio de uma solicitação HTTP POST para o mesmo recurso malicioso que hospeda a página. Na imagem abaixo está um exemplo de uma solicitação para enviar detalhes de pagamento para o site malicioso sslwebtraffic [.] Cf.

Conclusão

As ameaças investigadas não são tecnicamente complexas. Sua funcionalidade é bastante primitiva e visa criar a ilusão de travar o computador e intimidar a vítima. Acessar essa página por engano não prejudicará o dispositivo ou os dados do usuário, contanto que ele não caia nas táticas de fumaça e espelho dos cibercriminosos. Além do mais, para se livrar do armário não requer nenhum conhecimento especial ou meios técnicos.

Mas se o usuário entrar em pânico, poderá perder dinheiro. As soluções Kaspersky bloqueiam recursos maliciosos da web e arquivos relacionados a ameaças (scripts, elementos de conteúdo) com o veredicto HEUR: Trojan.Script.Generic.

O Avance Network é uma comunidade fácil de usar que fornece segurança de primeira e não requer muito conhecimento técnico. Com uma conta, você pode proteger sua comunicação e seus dispositivos. O Avance Network não mantém registros de seus dados; portanto, você pode ter certeza de que tudo o que sai do seu dispositivo chega ao outro lado sem inspeção.