СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
26 мая
#ИБ

Вирус CypherLoc запирает браузер на ключ и требует выкуп голосом

Вирус CypherLoc запирает браузер на ключ и требует выкуп голосом

изображение: recraft

Хакеры в рамках кампании CypherLoc заблокировали браузеры почти трёх миллионов пользователей и заставили их поверить, что компьютер захвачен. Схема не ворует файлы и не ломает систему — она давит на страх, выводя экран в полноэкранный режим и пугая жертву фальшивыми предупреждениями. Цель одна — заставить человека позвонить по номеру поддельной техподдержки.

Эксперты Barracuda насчитали около 2,8 миллиона пострадавших. Это очередная волна scareware — мошенничества, где главное оружие не код, а паника. Злоумышленники почти не тратятся на сложные инструменты, ставка делается на эмоции и желание человека срочно вернуть контроль над устройством.

Заражение начинается буднично. Жертва получает письмо со ссылкой или вложением, открывает его и попадает на страницу, которая выглядит совершенно мирно. На первом шаге ничего не происходит вообще, и эта пауза помогает обойти автоматические фильтры проверки.

Аналитик угроз Barracuda Мегарадж Баларадди рассказал, что вредоносная страница срабатывает не у всех. Перед запуском она присматривается к окружению. Проверяться может разное:

  • наличие защитных программ и антивирусов на устройстве
  • признаки виртуальной машины или песочницы
  • параметры браузера и операционной системы
  • общее «правдоподобие» среды для атаки

Если обстановка кажется подходящей, начинается главное действие. Браузер переходит в полноэкранный режим, прячет курсор, отключает привычные меню и обрушивает на пользователя поток сообщений якобы от системы безопасности. На экране всплывает номер «службы поддержки», поданный как единственный путь спасения.

Стоит обратить внимание, что вся механика построена на нарастании тревоги — каждая попытка закрыть окно отзывается звуком и новым предупреждением, и у человека крепнет ощущение, что устройство уже не его.

Отдельный приём CypherLoc — показ настоящего IP-адреса жертвы прямо на экране. Баларадди отметил, что это сделано ради эффекта личной угрозы. Когда рядом со словом «взлом» человек видит собственный IP, паника усиливается в разы.

Дальше мошенники подбрасывают фальшивое окно входа. Оно почти всегда завершается ошибкой. Жертве кажется, что система намертво заблокирована и сама она уже не справится. После этого начинается то, ради чего всё затевалось — звонок.

Люди набирают указанный номер, и трубку берут операторы, представляющиеся техподдержкой Microsoft. Дальше идёт классика социальной инженерии. Жертву обычно подводят к одному из вариантов:

  • установить программу удалённого доступа к компьютеру
  • продиктовать данные банковской карты
  • сообщить пароли от почты или личного кабинета
  • оплатить выдуманный «ремонт системы»

От старых scareware-кампаний CypherLoc отличается аккуратной маскировкой. Раньше это были грубые баннеры с мигающими ошибками, теперь — продуманная интерактивная ловушка с несколькими уровнями давления, заточенная под современные браузеры.

Любопытно, что атака почти не требует технической изощрённости — работает она ровно потому, что эксплуатирует не уязвимость в коде, а уязвимость в человеке.

Что помогает не попасться в подобной ситуации:

  • не звонить по номерам из всплывающих окон браузера
  • не устанавливать программы по просьбе незнакомых «операторов»
  • не вводить пароли и данные карт после любых «блокировок»
  • закрыть зависший браузер через диспетчер задач
  • при сомнениях просто перезагрузить компьютер

В большинстве случаев этого достаточно, чтобы экран вернулся к норме, а «вирус» исчез вместе с закрытым окном.

Сценарии с фейковой поддержкой множатся не первый год. Ранее фанатов Формулы-1 превратили в удобную мишень через поддельные стримы, фальшивую атрибутику и заражённые приложения. По данным Bitdefender, вокруг гонок выросла целая криминальная сеть, которая крадёт данные и зарабатывает на поддельных сервисах.

Эксперты редакции CISOCLUB уверены, что подобные кампании останутся прибыльными до тех пор, пока ставка делается на эмоции, а не на технические бреши. Никакой антивирус не закроет дыру, которая находится в голове напуганного человека. Лучшая защита здесь — спокойствие и привычка не доверять любому экрану, требующему срочных действий. Стоит заранее объяснить близким, особенно старшим родственникам, что Microsoft и другие компании никогда не выводят телефоны поддержки во всплывающих окнах. Когда человек знает схему заранее, она перестаёт работать. Простое правило — закрыл окно, выдохнул, перезагрузился — спасает деньги и нервы куда надёжнее, чем любой звонок незнакомцу.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: