Windows版Google Chromeユーザーを主なターゲットにしたテクニカルサポート詐欺の手法 | スラド セキュリティ

ふむ・・・


Webブラウザーに偽の警告画面を表示して電話をかけさせるタイプのテクニカルサポート詐欺では、ユーザーの操作を困難にするためのさまざまな手法が用いられるが、Windows版のGoogle Chromeユーザーが主なターゲットとみられる新たな手法による攻撃をMalwarebytesが報告している(Malwarebytes Labsの記事、 Neowinの記事、 Ars Technicaの記事、 SlashGearの記事)。

この手法では、ウイルスに感染したのでISPがPCをブロックしたといった内容の警告とMicrosoftの偽の電話番号を表示するとともに、大量のファイルダウンロードを実行してCPU使用率を100%まで上昇させ、ウインドウやタブを閉じることができないようにする。ダウンロードするファイルは実体があるわけではなく、Blobオブジェクトを生成し、window.navigator.msSaveOrOpenBlobメソッドで保存するというものだ。これを繰り返すことで大量のファイルダウンロードが実行されることになる。

攻撃は実際に行われているものであり、Chrome最新版のバージョン64.0.3282.140も影響を受ける。そのため、報告を受けたChromiumチームが対策を検討しているようだ。Chrome以外のブラウザーはUser Agent文字列別のランディングページが用意され、別のHTML APIによる手法が用いられているとのことだが、MalwarebytesはFirefoxとBraveも影響を受けることを確認し、それぞれ報告したとのこと。

なお、この手法ではベンダー接頭辞「ms」のついたメソッドが使われているが、MalwarebytesがUser Agent文字列をChromeのものに変更したInternet ExplorerやMicrosoft Edgeで試したみたところ、ウインドウを閉じることは可能だったという。JavaScriptコードの関数名(ch_jam、bomb_ch)に「ch」が付けられているところからみても、Chromeユーザーを念頭に置いた手法と考えられるとのことだ。

このような攻撃は主に不正広告経由で行われるため、Malwarebytesでは効果的な緩和策として広告ブロックソフトウェアの使用を挙げている。

情報源:Windows版Google Chromeユーザーを主なターゲットにしたテクニカルサポート詐欺の手法 | スラド セキュリティ


へぇ・・・