Блокировщики браузера, безопасно ли это и как это используют мошенники

Блокировщики браузеров — класс веб-угроз, мешающих жертве пользоваться браузерами и требующих выкуп. Блокировщик представляет собой мошенническую страницу, где под вымышленным предлогом (потеря данных, юридическая ответственность и прочее) пользователя вынуждают совершить звонок или сделать денежный перевод либо выманивают платежную информацию. «Блокировка» заключается в том, что действия посетителя на странице обрабатываются особым образом, не позволяя ему покинуть текущую вкладку, на которой ему демонстрируют запугивающие сообщения, часто с использованием звуковых и визуальных эффектов.


Такой вид мошенничества не нов и давно находится в поле зрения исследователей. За последние десять лет обнаружено множество кампаний блокировщиков браузеров, нацеленных на пользователей из разных стран. Несмотря на солидный возраст, угроза не утратила популярности: число уловок, которые используют мошенники, только растет. Среди них: имитация на странице браузера «синего экрана смерти» (BSOD) , ложные предупреждения о системных ошибках или обнаруженных вирусах, угроза шифрования файлов, уведомления о юридической ответственности и многие другие. В этой статье мы рассмотрим два семейства блокировщиков, имитирующих сайты государственных органов.



Способы распространения



Оба семейства распространяются при помощи рекламных сетей, в основном ориентированных на продажу «взрослого» контента и кинотрафика в навязчивой форме, например в виде вкладок или окон, открывающихся поверх посещаемого сайта при загрузке страницы с внедренным рекламным модулем (pop-up) или по клику в любой области этой страницы (click-under). Вероятнее всего, злоумышленники оплачивают рекламу, чтобы во всплывающих окнах демонстрировались блокировщики браузеров.

Поддельные сайты МВД России: «отдавайте свои деньги»

Представители из семейств имитируют сайт Министерства внутренних дел Российской Федерации и нацелены на пользователей из России. В четвертом квартале 2020 года с ними столкнулось более 55 000 пользователей.



Что видит (и слышит) жертва

Попав на поддельный сайт с блокировщиком, пользователь обнаружит, например, предупреждение якобы от браузера о том, что, если покинуть страницу, некие изменения могут не сохраниться.



Если пользователь просто закроет вкладку, ничего не произойдет, однако если он нажмет в любом месте страницы с предупреждением, на весь экран развернется основной контент блокировщика. В результате перед пользователем появится имитация экрана компьютера с открытым браузером: снизу изображена панель задач с иконкой Google Chrome, сверху — адресная строка с URL настоящего сайта МВД. Сообщение на странице гласит, что устройство якобы заблокировано из-за нарушения законодательства. Под предлогом уплаты штрафа жертву вынуждают перевести на некий абонентский номер определенную сумму, которая выбирается случайным образом из диапазона от 3 до 10 тысяч рублей. В случае отказа вымогатели угрожают шифрованием файлов, а также уголовным сроком по статье 242 УК РФ. Демонстрация страницы сопровождается аудиозаписью с требованием оплатить штраф и угрозами.

Технические детали



Мошенники используют полноэкранный режим, чтобы затруднить пользователю доступ к управляющим элементам окна браузера и панели задач, а также создать эффект «блокировки». В дополнение к этому, чтобы убедить жертву, что ПК не реагирует на движение мыши, злоумышленники скрывают курсор при помощи манипуляций с CSS-свойством ‘cursor’

Кроме того, на странице используется следующий код для обработки нажатия клавиш:

После деобфускации получаем совсем небольшой скрипт:

Вероятно, предполагалось, что выполнение этого кода будет приводить к игнорированию нажатий клавиш Escape (keycode=27), Ctrl (keycode=17), Alt (keycode=18), Tab (keycode=9), а также F1, F3, F4, F5, F12. Это могло бы помешать пользователю покинуть страницу при помощи различных сочетаний клавиш, однако такой трюк не работает в современных браузерах.

Также из интересных деталей можно отметить анимацию, изображающую процесс шифрования файлов, которая показана на скриншотах ниже. Она представляет собой бесконечную смену случайных чисел и букв, имитирующую перебор файлов в системной директории, которые якобы шифруются в настоящий момент.



Адреса страниц

Часто злоумышленники используют доменные имена, состоящие из набора букв и цифр, где последовательность цифр соответствует дате, близкой к дате регистрации домена, а последовательность букв — тематическая аббревиатура на латинице, например mpa (от рус. «МПА» — Муниципальный правовой акт) или kad (от рус. Кадастровая палата). Пример мошеннического домена: httmpa21[.]ru.

Также мы видели доменные имена, составленные с использованием тематических слов, например police или mvd. С их помощью злоумышленники пытались имитировать адреса легитимных ресурсов правоохранительных органов. Пример такого домена: mvd-ru[.]online.



Заключение

Рассмотренные угрозы нельзя назвать технически сложными. Их функциональность довольно примитивна и направлена на создание иллюзии блокировки компьютера и запугивание жертвы. Случайное попадание на мошенническую страничку не нанесет вреда ни устройству, ни данным пользователя, если он не пойдет на поводу у злоумышленников. При этом, чтобы избавиться от блокировщика, не нужно обладать специальными знаниями или техническими средствами.




Тем не менее, если пользователь запаникует, столкнувшись с подобной угрозой, он может потерять деньги. Многие решения антивирусов блокируют вредоносные веб-ресурсы, а также связанные с угрозой файлы (скрипты и элементы контента) с вердиктом "Trojan.Script.Generic"