Описание вредоносного ПО

Блокировщики браузеров: вымогательство под видом штрафа

Блокировщики браузеров — класс веб-угроз, мешающих жертве пользоваться браузерами и требующих выкуп. Блокировщик представляет собой мошенническую страницу, где под вымышленным предлогом (потеря данных, юридическая ответственность и прочее) пользователя вынуждают совершить звонок или сделать денежный перевод либо выманивают платежную информацию. «Блокировка» заключается в том, что действия посетителя на странице обрабатываются особым образом, не позволяя ему покинуть текущую вкладку, на которой ему демонстрируют запугивающие сообщения, часто с использованием звуковых и визуальных эффектов.

Такой вид мошенничества не нов и давно находится в поле зрения исследователей. За последние десять лет обнаружено множество кампаний блокировщиков браузеров, нацеленных на пользователей из разных стран. Несмотря на солидный возраст, угроза не утратила популярности: число уловок, которые используют мошенники, только растет. Среди них: имитация на странице браузера «синего экрана смерти» (BSOD), ложные предупреждения о системных ошибках или обнаруженных вирусах, угроза шифрования файлов, уведомления о юридической ответственности и многие другие. В этой статье мы рассмотрим два семейства блокировщиков, имитирующих сайты государственных органов.

Способы распространения

Оба семейства распространяются при помощи рекламных сетей, в основном ориентированных на продажу «взрослого» контента и кинотрафика в навязчивой форме, например в виде вкладок или окон, открывающихся поверх посещаемого сайта при загрузке страницы с внедренным рекламным модулем (pop-up) или по клику в любой области этой страницы (click-under). Вероятнее всего, злоумышленники оплачивают рекламу, чтобы во всплывающих окнах демонстрировались блокировщики браузеров.

Семейство № 1. Поддельные сайты МВД России: «отдавайте свои деньги»

Представители первого из рассматриваемых семейств имитируют сайт Министерства внутренних дел Российской Федерации и нацелены на пользователей из России. В четвертом квартале 2020 года с ними столкнулось более 55 000 пользователей.

Пример поддельного сайта МВД РФ

Что видит (и слышит) жертва

Попав на поддельный сайт с блокировщиком, пользователь обнаружит, например, предупреждение якобы от браузера о том, что, если покинуть страницу, некие изменения могут не сохраниться.

Если пользователь просто закроет вкладку, ничего не произойдет, однако если он нажмет в любом месте страницы с предупреждением, на весь экран развернется основной контент блокировщика. В результате перед пользователем появится имитация экрана компьютера с открытым браузером: снизу изображена панель задач с иконкой Google Chrome, сверху — адресная строка с URL настоящего сайта МВД. Сообщение на странице гласит, что устройство якобы заблокировано из-за нарушения законодательства. Под предлогом уплаты штрафа жертву вынуждают перевести на некий абонентский номер определенную сумму, которая выбирается случайным образом из диапазона от 3 до 10 тысяч рублей. В случае отказа вымогатели угрожают шифрованием файлов, а также уголовным сроком по статье 242 УК РФ. Демонстрация страницы сопровождается аудиозаписью с требованием оплатить штраф и угрозами.

Технические детали

Мошенники используют полноэкранный режим, чтобы затруднить пользователю доступ к управляющим элементам окна браузера и панели задач, а также создать эффект «блокировки». В дополнение к этому, чтобы убедить жертву, что ПК не реагирует на движение мыши, злоумышленники скрывают курсор при помощи манипуляций с CSS-свойством ‘cursor’.

Кроме того, на странице используется следующий код для обработки нажатия клавиш:

После деобфускации получаем совсем небольшой скрипт:

Вероятно, предполагалось, что выполнение этого кода будет приводить к игнорированию нажатий клавиш Escape (keycode=27), Ctrl (keycode=17), Alt (keycode=18), Tab (keycode=9), а также F1, F3, F4, F5, F12. Это могло бы помешать пользователю покинуть страницу при помощи различных сочетаний клавиш, однако такой трюк не работает в современных браузерах.

Также из интересных деталей можно отметить анимацию, изображающую процесс шифрования файлов, которая показана на скриншотах ниже. Она представляет собой бесконечную смену случайных чисел и букв, имитирующую перебор файлов в системной директории, которые якобы шифруются в настоящий момент.

Адреса страниц

Часто злоумышленники используют доменные имена, состоящие из набора букв и цифр, где последовательность цифр соответствует дате, близкой к дате регистрации домена, а последовательность букв — тематическая аббревиатура на латинице, например mpa (от рус. «МПА» — Муниципальный правовой акт) или kad (от рус. Кадастровая палата). Пример мошеннического домена: 0402mpa21[.]ru.

Также мы видели доменные имена, составленные с использованием тематических слов, например police или mvd. С их помощью злоумышленники пытались имитировать адреса легитимных ресурсов правоохранительных органов. Пример такого домена: mvd-ru[.]tech.

Мобильная версия поддельных сайтов МВД РФ

У этого вида угрозы есть и мобильная версия, которая демонстрируется только пользователям мобильных устройств. Для определения типа устройства при распространении используется проверка поля User-Agent в заголовке HTTP-запроса. Как и в случае с «полной» версией, жертву обвиняют в нарушении закона и требуют оплатить штраф, сумма которого, однако, фиксированна и меньше по размеру, чем в десктопной версии.

Семейство № 2. Поддельные сайты правоохранительных органов на Ближнем Востоке: «отдавайте платежные данные»

Второе семейство отличается способом передачи денег вымогателям. Как и в первом случае, пользователя обвиняют в нарушении законодательства, сообщают о блокировке компьютера и предлагают заплатить штраф. Однако вместо того, чтобы оставить свой номер счета или телефона, злоумышленники размещают на странице форму ввода данных платежной карты.

Это семейство блокировщиков ориентировано в основном на жителей Ближнего Востока (ОАЭ, Оман, Кувейт, Катар, Саудовская Аравия). Помимо этого мы наблюдаем мошеннические страницы, замаскированные под сайты правоохранительных органов Индии и Сингапура. Чуть реже встречаются варианты для ряда европейских стран.

В четвертом квартале 2020 года с угрозами этого семейства столкнулись свыше 130 000 пользователей.

Примеры страниц вымогателей

Технические детали

С технической точки зрения блокировщики второго семейства во многом похожи на поддельные веб-ресурсы, выдающие себя за сайт российского МВД. Как и в первом рассмотренном случае, контент разворачивается на весь экран, чтобы затруднить пользователю доступ к управляющим элементам окна браузера и панели задач. Вверху страницы нарисована адресная строка с URL официального государственного веб-ресурса, а снизу — фальшивая панель задач с иконкой Google Chrome. Указатель мыши не отображается, а для обработки нажатий клавиш используется код, аналогичный описанному выше. Кроме ввода платежных данных, никакие действия на странице пользователю недоступны.

На скриншоте ниже приведен обфусцированный скрипт, реализующий «блокировку», а также сбор и отправку введенных пользователем данных.

Платежные данные жертвы отправляются при помощи запроса HTTP POST на тот же вредоносный ресурс, на котором размещена страница. На скриншоте ниже приведен пример запроса для отправки платежных данных на мошеннический сайт sslwebtraffic[.]cf.

Заключение

Рассмотренные угрозы нельзя назвать технически сложными. Их функциональность довольно примитивна и направлена на создание иллюзии блокировки компьютера и запугивание жертвы. Случайное попадание на мошенническую страничку не нанесет вреда ни устройству, ни данным пользователя, если он не пойдет на поводу у злоумышленников. При этом, чтобы избавиться от блокировщика, не нужно обладать специальными знаниями или техническими средствами.

Тем не менее, если пользователь запаникует, столкнувшись с подобной угрозой, он может потерять деньги. Решения «Лаборатории Касперского» блокируют вредоносные веб-ресурсы, а также связанные с угрозой файлы (скрипты и элементы контента) с вердиктом HEUR:Trojan.Script.Generic.

Индикаторы компрометации

Поддельные сайты МВД в России

2301tiz21[.]ru
112aubid[.]ru
00210kad[.]ru
1910mpa20[.]ru
mvd[.]pp[.]ru
mvd[.]net[.]ru
police-online[.]info
mvd-online-police[.]ga

Поддельные сайты правоохранительных органов в других странах

supportpayprogramarabicssn[.]ga
tkkmobileinternetssnstop[.]ml
tkkmobileinternetssnstopopen[.]gq
amende-police-4412[.]xyz
gropirworldplssn[.]ga

Блокировщики браузеров: вымогательство под видом штрафа

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике