Эксперты по кибербезопасности Malwarebytes обнаружили новую хакерскую кампанию, в рамках которой злоумышленники действуют от лица служб технической поддержки, пользуясь при этом уязвимостью межсайтового скриптинга (XSS). Для завлечения жертв используются ссылки, размещенные на Facebook.
Мошенническая операция начинается с использования сокращенных ссылок bit.ly, которые распространяются в Facebook и других популярных социальных сетях. Они ведут жертв на страницу блокировки браузера. По информации компании Malwarebytes, некоторые игры и приложения используются для распространения таких ссылок.
За три предыдущих месяца эксперты нашли в общей сложности несколько десятков ссылок bit.ly, которые применялись в этой хакерской кампании. По словам специалистов, мошенники постоянно меняют эти ссылки, чтобы не попасть в черные списки.
URL-адреса bit.ly запускают второй этап перенаправления, когда перуанский новостной сайт https://rpp.pe/, имеющий уязвимость межсайтового скриптинга (XSS), применяется для открытого перенаправления. Сайт имеет посещаемость в 23 млн. человек в месяц.
«Кроме перенаправления пользователей на другие сайты, хакеры могут использовать XSS, чтобы переписать текущую страницу во что угодно», – отмечают в Malwarebytes.
Следующий шаг кибератаки состоит в том, чтобы передать код в URL-адрес для загрузки внешнего JS-кода из вредоносного домена buddhosi [.] com. Скрипт создан для перенаправления на целевую страницу.
Изначально киберпреступники загружали там домены-ловушки, предназначенные для проверки входящего трафика и доставки вредоносного ПО жертвам. Позже в мошеннической кампании была добавлена вместо этого эксплуатация уязвимости открытого перенаправления.
В завершении цепочки перенаправлений для пользователя отображается анимация, в которой показывает, что происходит сканирование системных файлов компьютера и есть угроза удаления данных с жесткого диска в течение пяти минут.
Уловка банальная, но для неподготовленных пользователей убедительная, поэтому многие жертвы звонят по указанному бесплатному номеру – отвечает якобы специалист техподдержки, который говорит о том, что компьютер жертвы заражен, поэтому надо срочно купить дорогое программное обеспечение или жесткий диск будет полностью очищен.
ЧИТАТЬ ВСЕ НОВОСТИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ
