Browlock flies使用完全混淆技術繞過檢測

Browlocks是垃圾郵件活動技術支持的主要驅動力，使用惡意廣告和瀏覽器locker技術來欺騙用戶。事實上效果非常明顯，因為很多用戶相信自己的電腦被黑了，並撥打了偽造的微軟支持電話尋求幫助。

犯罪分子在不斷嘗試新的技術來抵制現代瀏覽器和繞過檢測。最近，研究人員發現一個evil cursor可以防止用戶關閉假的告警消息，假的病毒下載會暗示用戶電腦已經被感染。此時，瀏覽器locker頁面用編碼技術來繞過基於簽名的檢測。

編碼和其他混淆類型

使用base64或十六進位編碼來隱藏惡意腳本是一種非常古老的技術。惡意軟體依賴這類技術來使惡意代碼檢測對分析師和掃描器來說都變得非常困難。

技術支持垃圾郵件發送者在瀏覽器locker模板中也使用了混淆技術。犯罪分子使用下面的十六進位編碼偽裝了虛假的告警消息：

但瀏覽器可以讀取和解碼十六進位編碼的內容，並展示給用戶以下虛假告警消息：

*************************************************

RDN/YahLover.worm!055BCCAC9FEC Infection

*************************************************

並不是所有的技術支持垃圾郵件browlock都使用混淆技術，但是使用混淆技術也逐漸變成隱藏代碼的常用方式。但還沒有browlock頁完全編碼的情況還沒有見過。

Soup to nuts編碼

研究人員最近在Reddit上發現一個browlock模板進行了完全編碼技術，其源代碼非常簡單和有效：

從代碼中可以提取出兩個JavaScript庫，Zepto.js和base64.min.js。Zepto.js是適用於現代瀏覽器的最小JavaScript庫，含有大量適配jQuery的API。base64.min.js可以獲取Base64編碼的內容並在傳輸過程中解碼。但數據是從下面的GET請求載入的，而不是主頁：

毫無疑問，犯罪分子又一次和網路防禦者玩起了貓鼠遊戲。犯罪分子甚至創建了一個假的Google Analytics tracker ID: gtag(『config』, 『UA-8888888-x』)，並使用了看起來非常向Google的域名maps-google[.]us。

對終端用戶來說，不管出現了什麼樣的告警消息，第一是要保持平靜，在撥打垃圾郵件發送者給出的熱線前再三檢查核對。Browlock並不會對計算機造成損害，而且有許多方式可以關閉。一些複雜的還需要用任務管理器來殺掉相關進程，因此研究人員也希望瀏覽器廠商能夠關注和解決這類的問題。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！