你的Safari瀏覽器被「鎖」了嗎?千萬別付贖金,升級iOS 10.3即可
前兩天蘋果發布了最新的iOS 10.3更新,這次更新修復了不少安全問題,其中包括對移動端Safari對JavaScript彈出窗口的處理方式的改變。
前不久,Lookout發現攻擊者正在利用這種處理方式對蘋果用戶實施勒索,其目標主要是那些在網上找色情內容,和想要非法下載盜版音樂和其他敏感信息的人。
你中招了嗎?
「漏洞」說明
在本次攻擊中,詐騙分子濫用了移動端Safari的彈窗處理方式,通過反覆彈窗,讓用戶無法使用Safari瀏覽器,除非該用戶以iTunes禮品卡的形式向詐騙分子支付贖金。
詐騙分子通過這種方式成功「鎖定」一個Safari瀏覽器之後,還會給用戶提示各種威脅、恐嚇的勒索信息。
不過這種「勒索」程序其實很容易「解鎖」,只需要在iOS設置中將Safari瀏覽器的緩存刪除即可。
詐騙者其實根本沒有向一般的勒索程序那樣加密數據,他們的目的就是恐嚇受害者支付贖金。
Lookout上個月首次發現這種攻擊,他們將發現的相關細節上報給了蘋果,包括涉及詐騙活動的多個網站和攻擊原理,並強調了經常更新手機服務的重要性。
首次發現
就在今年2月,一位使用iOS 10.2的用戶向Lookout反應,他在使用Safari瀏覽器訪問某家網站之後,Safari就徹底失控了,並發給Lookout兩張截圖。
截圖有兩部分內容,最直觀的就是一條來自pay-police.com網站的提示信息「Cannot Open Page」。
據受害者反應,他每次點「OK」之後還是提示「Cannot Open Page」,顯然網址日誌陷入了無限循環,結果就是用戶無法正常使用瀏覽器。還有一部分就是背景部分的勒索信息。
「你的設備已經被鎖…」以及「…快支付價值100磅的iTunes禮品卡」,威脅用戶支付贖金
移動端Safari彈窗的弊端
如前文所述,攻擊者就是利用Safari針對彈窗的處理方式來欺騙受害者,聲稱「你的Safari已經被我鎖了」,並向受害者索要贖金。
這種攻擊方式並沒有突破Safari瀏覽器的應用沙盒,也沒有利用什麼exploit代碼——這和那些複雜攻擊方式完全不是一個層級。
攻擊者註冊類似police-pay這樣的域名,其實是為那些整天找「特定類型內容」的用戶準備的,這裡的特定類型可能是色情內容,當然也有可能是盜版音樂網站。
為了更高效地拿到贖金,他們恐嚇受害者以明確的物品來充當贖金,就比如等值iTunes禮品卡。
經分析,詐騙分子的攻擊代碼似乎針對較老的iOS 8版本開發的,蘋果直到iOS 10.3才修復了這個瀏覽器缺陷。
其實「鎖」住瀏覽器的就是一串觸發彈窗的無限循環代碼。
由於iOS 10.3瀏覽器採用每個標籤獨立運行的方式,因此在iOS 10.3中單個標籤彈窗不會鎖住整個瀏覽器,用戶可關閉該標籤或移動到另一標籤解決被無限彈窗的問題。
快速修復
在獲取iOS 10.3更新之前,受害者還可以通過以下方法解「鎖」,設置>Safari>清除歷史和網頁數據;再次啟動Safari的時候,勒索消息就消失了。
調查勒索行為
從下面這條指令可以看出,此次攻擊利用JavaScript代碼是對早期攻擊的再利用。
「saved from url=(0070)http://apple-ios-front.gq/29300000/index.php?DATARE=Vylet%3A30_15%3A29」
一家俄羅斯網站上曾介紹過這種攻擊,JavaScript中包含一些專門將UserAgent string匹配到老版本iOS的代碼。
「』Mozilla/5.0 (iPhone; CPU iPhone OS 8_0_2 like Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) Version/8.0 Mobile/12A366 Safari/600.1.4』」
攻擊代碼會創建一個彈窗,並無限循環,除非受害者支付贖金。
贖金支付可以通過將iTunes禮品卡號發給勒索網頁顯示的電話號碼完成。
後續版本的iOS系統中,彈出錯誤窗口對話框實際上是因為移動版Safari無法找到本次URL查詢,不過由於無限循環代碼,攻擊代碼還是會持續彈出錯誤日誌信息。
值得一提的是,JavaScript代碼被混淆,在分析員的還原之下,發現了它的真實目的。
比如,在pay-police[.]com域名的JavaScript代碼中,攻擊者以十六進位混淆了他的攻擊代碼。
這種攻擊在新版本的iOS中可能會導致瀏覽器DOS(拒絕服務)。
在執行混淆代碼之前該網頁代碼還會運行下面這個腳本
該組織在本次勒索行動中購買了大量域名來吸引用戶點進他們設好陷阱的網站,以收取更多贖金。
Lookout研究員還在下列URL中發現相同的惡意JavaScript代碼
hxxp://x-ios-validation[.]com/us[.]html
hxxp://x-ios-validation[.]com/ie[.]html
hxxp://x-ios-validation[.]com/gb[.]html
hxxp://x-ios-validation[.]com/au[.]html
hxxp://x-ios-validation[.]com/nz[.]html
每個網站的勒索信息都不同,且針對的對象包括全球不同地區,每個網站各關聯一個聯繫郵箱。
可以看出這是一起針對全球範圍的釣魚活動。
各payload對應的釣魚域名和郵箱地址:
U.S.: us.html networksafetydept@usa[.]com
Ireland: ie.html justicedept@irelandmail[.]com
UK: gb.html cybercrimegov@europe[.]com
Australia: au.html federaljustice@australiamail[.]com
New Zealand: nz.html cybercrimegov@post[.]com
*參考來源:
lookout
,FB小編bimeover編譯,轉載請註明來自Freebuf.COM![](https://pic.pimg.tw/zzuyanan/1488615166-1259157397.png)
![](https://pic.pimg.tw/zzuyanan/1482887990-2595557020.jpg)
※企業安全漏洞通告引擎
※【周五預告】FreeBuf.公開課 | 行業資深律師為你解讀《網路安全法》對白帽子的影響
※成人網站PornHub跨站腳本(XSS)漏洞挖掘記
※【新手科普】盤點常見的Web後門
※FreeTalk安全沙龍 | 全國巡演議題徵集
TAG:FreeBuf |
※向WannaCry低頭:贖金升到7.2萬美元
※WannaCry病毒收款賬戶已收到4.2萬餘美元贖金
※[圖]最新統計:WannaCry勒索軟體贖金已達7.2萬美元
※勒索病毒攻陷iPhone 6?網傳天價贖金「200比特幣」
※勒索病毒Petya只收到7500美元贖金,黑客怕是要氣吐血了
※新勒索病毒Petya瘋狂肆虐 僅收到9000美元贖金
※這是什麼操作?Petya勒索病毒贖金暴漲至25萬美元!
※《賽博朋克2077》設計文檔遭黑客偷竊,CD Projekt被索取贖金
※黑客氣到吐血!全球勒索病毒Petya只收到7500美元贖金
※勒索病毒贖金賬戶已獲5.9萬美元,只為羞辱NSA?
※250萬贖金 9萬人請願 CISO作曲專業出身
※傳聞:勒索病毒攻陷iPhone贖金竟達數百萬
※主機託管服務商受到Linux勒索軟體攻擊後,乖乖支付100萬贖金!
※蘋果公司遭遇黑客組織勒索:不付贖金就曝光或抹除3億iCloud賬戶信息
※黑客使用查找iPhone功能鎖定Mac並勒索贖金
※黑客組織"Dark Overlord"竊取美國蒙大拿州學區數據索要贖金
※贖金只是幌子 勒索病毒NotPetya另有他求
※WannaCry勒索病毒中的愚蠢Bug,贖金打水漂可能正是該漏洞所致
※黑客盜取Disney未上映電影並勒索巨額贖金,Disney是否會妥協?