Los estafadores de soporte técnico están reutilizando una técnica antigua en sus esquemas existentes de bloqueo de navegador (browlock) para forzar un tipo especial de descarga de archivos. Contrariamente a los ataques anteriores, donde el propósito era inundar la máquina con una gran cantidad de solicitudes de archivos para bloquear el navegador, esta es simplemente una estrategia de ingeniería social.
De hecho, la técnica de inundación que abusa del método window.navigator.msSaveOrOpenBlob, ya se ha corregido en Google Chrome. Lo que vemos aquí, en cambio, es una combinación de un método HTML5 previamente explotado conocido como history.pushState () y la técnica de descarga Anchor.
Así es como funciona: los usuarios confiados reciben una falsa página de alerta de Microsoft mientras navegan por varios sitios web. Normalmente, la redirección se inicia mediante una cadena de publicidad maliciosa (publicidad maliciosa).
La página intenta usar varios trucos para crear la impresión de bloqueo, por ejemplo, monitoreando los eventos del mouse y el teclado y forzándose a sí mismo en el modo de pantalla completa. Además, inicia una descarga automática de archivos llamada “Este es un VIRUS. Tu computadora está bloqueada”
Este archivo es una copia del código HTML del bloqueador del navegador, por lo que podría decir que es de naturaleza maliciosa, pero no puede dañar la computadora como un virus o malware. Los estafadores simplemente están usando palabras fuertes para asustar a las posibles víctimas.
Una vez más, vemos que los estafadores de soporte técnico continúan abusando de los navegadores usando técnicas básicas. Su eficacia se debe en gran parte al hecho de que se trata de características legítimas o estándares web que se utilizan de manera maliciosa.
Por esta razón, los proveedores de navegadores pueden tener dificultades para mitigar este tipo de ataques sin romper también los casos de uso legítimos. El bloqueo del navegador con el error de descargas infinitas que publicamos en el blog a principios de año aún no está resuelto en Mozilla Firefox.
La extensión del navegador Malwarebytes (Beta) mitiga estos armarios del navegador tanto para Chrome como para Firefox.