С помощью уязвимости XSS мошенники выдают себя за специалистов техподдержки

Дата: 22.10.2020. Автор: Артем П. Категории: Новости по информационной безопасности
С помощью уязвимости XSS мошенники выдают себя за специалистов техподдержки

Эксперты по кибербезопасности Malwarebytes обнаружили новую хакерскую кампанию, в рамках которой злоумышленники действуют от лица служб технической поддержки, пользуясь при этом уязвимостью межсайтового скриптинга (XSS). Для завлечения жертв используются ссылки, размещенные на Facebook.

Мошенническая операция начинается с использования сокращенных ссылок bit.ly, которые распространяются в Facebook и других популярных социальных сетях. Они ведут жертв на страницу блокировки браузера. По информации компании Malwarebytes, некоторые игры и приложения используются для распространения таких ссылок.

За три предыдущих месяца эксперты нашли в общей сложности несколько десятков ссылок bit.ly, которые применялись в этой хакерской кампании. По словам специалистов, мошенники постоянно меняют эти ссылки, чтобы не попасть в черные списки.

URL-адреса bit.ly запускают второй этап перенаправления, когда перуанский новостной сайт https://rpp.pe/, имеющий уязвимость межсайтового скриптинга (XSS), применяется для открытого перенаправления. Сайт имеет посещаемость в 23 млн. человек в месяц.

«Кроме перенаправления пользователей на другие сайты, хакеры могут использовать XSS, чтобы переписать текущую страницу во что угодно», – отмечают в Malwarebytes.

Следующий шаг кибератаки состоит в том, чтобы передать код в URL-адрес для загрузки внешнего JS-кода из вредоносного домена buddhosi [.] com. Скрипт создан для перенаправления на целевую страницу.

Изначально киберпреступники загружали там домены-ловушки, предназначенные для проверки входящего трафика и доставки вредоносного ПО жертвам. Позже в мошеннической кампании была добавлена вместо этого эксплуатация уязвимости открытого перенаправления.

В завершении цепочки перенаправлений для пользователя отображается анимация, в которой показывает, что происходит сканирование системных файлов компьютера и есть угроза удаления данных с жесткого диска в течение пяти минут.

Уловка банальная, но для неподготовленных пользователей убедительная, поэтому многие жертвы звонят по указанному бесплатному номеру – отвечает якобы специалист техподдержки, который говорит о том, что компьютер жертвы заражен, поэтому надо срочно купить дорогое программное обеспечение или жесткий диск будет полностью очищен.

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *