Los atacantes utilizan Facebook para difundir enlaces maliciosos a la campaña de bloqueo del navegador.

Los investigadores de Malwarebytes han documentado un campaña de bloqueo del navegador, en la que los atacantes están explotando un error XSS de un sitio de noticias famoso. Se observa que los enlaces maliciosos estaban enmascarados con acortadores de enlaces y difundir a través de Facebook. Están utilizando redireccionamientos abiertos para dirigir a los usuarios a un sitio web falso, lo que eventualmente incita al usuario a llamar a un número y solicitar el pago.

Campaña de bloqueo del navegador mediante redireccionamientos abiertos

Gabinete del navegador Las campañas suelen ser un plan de estafa, que redirige a los usuarios a un sitio web comprometido que realiza un escaneo falso de la computadora del usuario y les advierte de una amenaza, como estar infectado por un virus o malware. Y para eliminar esto, deben comunicarse con el número o correo electrónico a «soporte técnico» como ayuda.

Aunque de hecho no hay nada, los usuarios vulnerables caen en la trampa y terminan pagando dinero a los estafadores sin motivo alguno. Investigadores de Malwarebytes recientemente rastreó una de estas campañas, en la que los actores de la amenaza están utilizando la plataforma principal de Facebook (en aplicaciones de juegos) para difundir sus URL maliciosas (redireccionar enlaces)

Estos enlaces, cuando se tocan, llevarán al usuario a un sitio de noticias llamado RPP, que tiene un error XSS para ser explotado. Los actores de amenazas aquí tienen enmascaró sus enlaces con bit.ly y usó más de 50 de esos enlaces para evitar ser incluidos en la lista negra. El sitio de noticias RPP es lo suficientemente popular entre 23 millones de visitas al mes, y fue informado por el investigador sobre esta campaña, pero aún no ha respondido.

El problema de redireccionamiento abierto aquí redirigirá al usuario a una página web externa, sin validarla. El atacante aquí puede modificar los valores de los parámetros de URL e inyectar un código JavaScript desde el sitio web del atacante llamado buddhosi[.]con. Esto les permite redirigir a un «Página de destino de Browlock usando método replace (), « donde busca una cadena para un valor especificado y muestra una nueva cadena donde se reemplazan los valores especificados.

Después de colocarlo en la página falsa (bloqueo del navegador), escanean falsamente el disco duro de la computadora del usuario y, después de un tiempo, hacen llamadas para eliminar los archivos del sistema. Y para evitar que esto suceda, les piden que llamen a un número gratuito para recibir asistencia técnica. Los investigadores notaron 40 números de teléfono diferentes, que son falsos Me gusta sus sitios y pida dinero para ayudar.

Aunque los escaneos son falsos, recomiendan que los usuarios paguen por adelantado para evitar eliminar sus archivos. Los usuarios vulnerables caen en el ataque porque son impulsados ​​por el pánico causado por los resultados falsos del atacante en su sitio web. Una cosa simple a considerar aquí es tenga cuidado con los enlaces compartidos en las redes sociales, o cualquier otra plataforma pública.