En ny våg av nätbedrägerier använder verktyget CypherLoc för att skrämma användare och få dem att ringa ett falskt supportnummer, enligt Barracuda. Sedan årsskiftet har forskare hos säkerhetsföretaget observerat cirka 2,8 miljoner attacker där verktyget använts.
Angreppen bygger på så kallat scareware, eller skrämselprogram, där målet är att skapa panik och få offret att agera under stress. Metoden kombinerar dold kod, fördröjd aktivering och aggressivt beteende på skärmen.
Så fungerar attacken
Attacken inleds ofta med ett nätfiskemejl som innehåller en länk, antingen direkt i meddelandet eller i en bilaga. När länken öppnas visas först en till synes normal webbsida.
Den skadliga koden ligger dold på sidan och aktiveras först när vissa villkor är uppfyllda, till exempel att en särskild kodnyckel finns på plats och att användaren inte använder en säkerhetsskanner eller testmiljö. När attacken startar växlar sidan till helskärmsläge, webbläsaren låses och användaren möts av falska säkerhetsvarningar som uppmanar till omedelbar handling.
För att förhindra att användaren lämnar sidan används flera tekniker. Webbläsaren kan bli långsam eller krascha om sidan granskas närmare, markören döljs och menyer slutar fungera. Om användaren försöker stänga sidan kan den låsa sig på nytt.
Under hela förloppet visas ett telefonnummer som framställs som den enda lösningen. Den som ringer kopplas till bedragare som utger sig för att vara teknisk support, och angreppet fortsätter sedan med social manipulation för att komma över inloggningsuppgifter.
Svårt att upptäcka
Enligt Barracudas analys är en del av framgången att angreppen är svåra att upptäcka i vanliga kontroller. Eftersom den skadliga koden är dold och bara aktiveras under vissa förutsättningar kan den passera obemärkt i säkerhetsverktyg som skannrar och isolerade testmiljöer.
– CypherLoc visar hur moderna scareware rör sig bort från traditionell skadlig kod och i stället mot webbläsarbaserade, användardrivna bedrägerier som är svåra att upptäcka och mycket effektiva. Verktyget utnyttjar själva webbläsaren för att pressa användare att agera. Genom att kombinera dold kod, fördröjd aktivering och aggressivt beteende på skärmen skapas en övertygande bild av ett allvarligt systemproblem, samtidigt som man lämnar mycket få tekniska spår, säger Saravanan Mohankumar, på Barracudas team för hotanalys.
Barracuda betonar samtidigt att legitima säkerhetsvarningar inte visar telefonnummer, inte låser webbläsaren och inte kräver omedelbara åtgärder via popupfönster.
