TSS技术越来越好,然而并没有什么用

TSS技术越来越好,然而并没有什么用

在浏览网页的某一瞬间,你可能会遇到一个伪装成微软或谷歌的网页,提示你电脑出现了问题,拨打屏幕上的电话来解决。虽然大多数防病毒软件都可以检测一些类型的技术支持骗局(TSS),但是攻击者正在使用新策略来使其更难以检测。

为了不被检测到,TTS开发者通过混淆用于显示这些骗局的脚本来避免检测,改进了他们的技术。这些混淆技术包括Base64编码、创建自定义混淆例程、甚至使用AES加密来隐藏检测引擎中的脚本。

在混淆代码时,TSS诈骗者通常只关注一种方法。例如,他们可能会使用AES加密并动态解密JavaScript。在赛门铁克的一份新报告中,安全研究人员Siddhesh Chandrayan解释了现在技术支持诈骗如何通过使用多种混淆方法来改进他们对脚本进行模糊处理的方式,以使安全软件更难检测。

骗局

通常情况下,当不知情的用户访问了恶意网站,或被各种方法重定向到了恶意网站(如恶意广告网站和受感染的网站)时,骗局就开始了。

研究人员观察到的一个骗局针对意大利语用户,类似的活动也可能针对说其他语言的用户。该骗局通知受害者他们的计算机因“显示和传播意大利法律禁止的内容”(例如成人内容)而被锁定。要想解锁计算机,受害者必须用iTunes礼品卡支付500欧元的“行政处罚”。这种策略旨在引起受害者的担忧然后付钱。

TSS技术越来越好,然而并没有什么用

恶意网站示例

混淆代码

分析该骗局的源代码,研究人员发现了大量混淆内容,如下图所示。

TSS技术越来越好,然而并没有什么用

研究人员进一步研究了用于解密这个混淆数据的代码。

TSS技术越来越好,然而并没有什么用

骗局中的解密例程

首先将混淆的内容捕获到变量中,然后转换为base64编码的内容。然后,用函数“atob”解码这个base64编码的内容并将其显示到浏览器上,如上图所示。

解码base64内容后,研究人员看到了骗局向受害者显示的一些字符串。然而,骗局并没有在这里结束,研究人员仍然可以看到混淆代码和解密例程。

TSS技术越来越好,然而并没有什么用

第一次反混淆后的AES加密内容

该代码还加载了以下JavaScript库:<scriptsrc=“https://cdnjs.cloudflare.com/ajax/libs/crypto-js/3.1.2/rollups/aes.js”></script><script>。

这个CryptoJS广泛用于AES混淆和反混淆,这表明该骗局使用AES做为其第二层混淆技术。解码AES混淆内容后显示了骗局的最后一层,没有使用混淆技术。

为什么该骗局与众不同?

虽然技术支持诈骗已经使用混淆技术很长时间了,但使用多级编码的情况并不多见。TSS通常强制基于字符串的检测引擎将检测重点放在随机数字或字符串上,这很容易引起误判。因此该骗局使用解码技术来绕过防病毒引擎的检测。

如何避免被骗

赛门铁克的IPS遥测技术表明,最易受技术支持骗局攻击的国家是美国、日本、加拿大、英国和德国。

TSS技术越来越好,然而并没有什么用

虽然为了使代码不被检测,诈骗者使用的策略越来越先进,但这些最终也只是在浏览器上显示的广告而已。

如果您遇到一个网站,提示您的计算机出现问题并让您下载软件或拨打电话号码,请忽略该警报并关闭浏览器,这样骗局就结束了。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/132921.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code