Trend Micro ha descubierto una nueva campaña de estafa de soporte técnico (TSS, por sus siglas en inglés) que utiliza iframe en combinación con la autenticación básica de ventanas emergentes (pop-up) para congelar el navegador de un usuario. Dado que esta técnica es nueva y desconocida, potencialmente puede evitar la detección. Como muchas campañas de TSS, se disfraza de proveedor de servicios de una marca legítima o conocida para atraer a sus víctimas. Esta campaña en particular utiliza Microsoft.
Técnicas de evasión
Según Samuel P. Wang, investigador de fraudes de Trend Micro, las URL utilizadas en esta estafa muestran una página web disfrazada para que parezca una típica página de soporte técnico de Microsoft. Sin embargo, oculta varias funciones diferentes. Introduciendo cualquiera de las URL involucradas se abrirán dos ventanas emergentes: una que pide autenticación de usuario y otra que simplemente insta a los usuarios a solicitar soporte técnico. Para entonces, el usuario ha entrado en un bucle sin saberlo.
Haciendo clic en el botón Cancelar de la ventana emergente de autenticación solo se consigue regresar a la URL. Los botones Cerrar y Aceptar de la ventana emergente no funcionan ni hacen nada, y es probable que únicamente sirvan para que parezca legítimo.
Figura 1. La página de soporte falso de Microsoft congelada utilizada en la campaña
Crear un bucle y congelar un navegador es un método común utilizado en las campañas de TSS. El método que utiliza esta campaña para congelar el navegador de un usuario, junto con su segunda táctica de evasión, es lo que la hace única. En una campaña típica de TSS, los ciberdelincuentes utilizaban los códigos básicos de alerta () y confirmación () de JavaScript para poner al usuario en un bucle en el que al hacer clic en cualquier botón emergente, simplemente lo llevan de vuelta a la misma ventana emergente.
En su lugar, esta campaña sigue añadiendo iframes (un documento HTML integrado en otro documento HTML). Esto se hace configurando iframe como showLogin de la página, haciéndolo aparecer cuando se introduce la URL. La fuente o contenido de Iframe, a su vez, es la URL de la página de autenticación y por lo tanto solo devuelve al usuario a la URL.
Figura 2. Código que muestra el uso de Iframe
Figura 3. Un useragent.php separado o una ventana emergente de autenticación utilizada en el bucle
Esta técnica tiene un resultado similar al de poner a los usuarios en un bucle -los lleva constantemente de vuelta a la URL de autenticación y al elemento emergente-. Las campañas de TSS se basan en el pánico resultante provocado por un navegador congelado, que podría obligar a los usuarios a actuar de inmediato en el curso de acción presentado, lo que normalmente implica llamar al número que aparece en la pantalla y seguir lo que el supuesto agente de soporte técnico pueda sugerir.
Una característica adicional de estas URL es que muestran un formato diferente dependiendo de la versión o del tipo de navegador como Firefox, Chrome, Edge y otros. Esta información se muestra en su código fuente y se destaca en la figura 4, probablemente solo para adaptar la campaña a diferentes navegadores.
Figura 4. Código fuente que muestra estas URL con diferentes formatos para diferentes navegadores
Trend Micro ha registrado que las URL relacionadas con esta campaña han sido visitadas un máximo de 575 veces al día, como puede verse en la tabla 1. Estos clics registrados procedían de varias URL diferentes, ya que la otra técnica de evasión empleada en esta campaña consiste en cambiar la dirección IP del host aproximadamente 12 veces al día. No se tiene aún suficiente evidencia para decir de manera concluyente cómo se distribuyen estas URL, pero si siguen a campañas anteriores de TSS, es probable que se distribuyan a través de anuncios desplegados.
Figura 5. Número de visitas diarias registradas de las URL relacionadas con la campaña
Conclusión
Afortunadamente, el éxito de los ataques TSS depende en gran medida de cómo respondan los usuarios a sus trucos. Como se ha destacado en esta nueva campaña, los usuarios pueden observar características sospechosas de una página web, como URL desconocidas, ventanas emergentes que piden autenticación, o cualquier tipo de información y mensajes que provoquen pánico y alarma.
Los usuarios deben recordar que existen otras formas de recuperar su navegador. Aquellos que se encuentren con un ataque similar pueden simplemente cerrar el navegador utilizando el Administrador de Tareas. Si están realmente preocupados por la seguridad de su dispositivo y sistema, pueden encontrar otros medios legítimos para confirmar el estado de sus sistemas.
Los usuarios y las empresas deben considerar la adopción de soluciones de seguridad que puedan proteger los sistemas de diversas amenazas mediante una combinación intergeneracional de técnicas de defensa contra amenazas. Las soluciones para el endpoint de Trend Micro, como Smart Protection Suites y Worry-Free Business Security, pueden proteger a los usuarios y a las organizaciones de las amenazas mediante la detección de archivos y mensajes maliciosos y el bloqueo de todas las URL maliciosas relacionadas. Trend Micro™ Deep Discovery™ incluye una capa de inspección de correo electrónico que puede proteger a las empresas gracias a la detección de archivos adjuntos y URL maliciosos.
Estas soluciones están impulsadas por Trend Micro™ XGen™ security que ofrece machine learning de alta fidelidad que protege el gateway y el endpoint, así como las cargas de trabajo físicas, virtuales y cloud. Con tecnologías que emplean filtrado web/URL, análisis de comportamiento y sandboxing personalizado, XGen security ofrece protección contra amenazas siempre cambiantes que pasan por alto los controles tradicionales y aprovechan las vulnerabilidades conocidas y desconocidas.
Indicadores de Compromiso (IoC)
URLs |
hxxp://18[.]206[.]159[.]176/assests/eng_edge_new[.]html |
hxxp://45[.]32[.]156[.]135/assests/eng_edge_new[.]html |
hxxp://45[.]32[.]205[.]54/assests/eng_edge_new[.]html |
hxxp://45[.]76[.]166[.]173/assests/eng_edge_new[.]html |
hxxp://45[.]76[.]166[.]231/assests/eng_edge_new[.]html |
hxxp://45[.]76[.]2[.]215/assests/eng_edge_new[.]html |
hxxp://45[.]76[.]4[.]128/assests/eng_edge_new[.]html |
hxxp://45[.]76[.]6[.]92/assests/eng_edge_new[.]html |
hxxp://45[.]77[.]109[.]221/assests/eng_edge_new[.]html |
hxxp://45[.]77[.]149[.]225/assests/eng_edge_new[.]html |
hxxp://45[.]77[.]154[.]214/assests/eng_edge_new[.]html |
hxxp://45[.]77[.]218[.]239/assests/eng_edge_new[.]html |
hxxp://45[.]77[.]64[.]207/assests/eng_edge_new[.]html |
hxxp://45[.]77[.]67[.]129/assests/eng_edge_new[.]html |
hxxp://80[.]240[.]16[.]81/assests/eng_edge_new[.]html |
hxxp://80[.]240[.]19[.]216/assests/eng_edge_new[.]html |
hxxp://95[.]179[.]167[.]173/assests/eng_edge_new[.]html |
hxxp://95[.]179[.]168[.]138/assests/eng_edge_new[.]html |
hxxp://140[.]82[.]36[.]155/assests/eng_edge_new[.]html |
hxxp://140[.]82[.]38[.]211/assests/eng_edge_new[.]html |
hxxp://140[.]82[.]42[.]6/assests/eng_edge_new[.]html |
hxxp://140[.]82[.]46[.]46/assests/eng_edge_new[.]html |
hxxp://140[.]82[.]9[.]45/assests/eng_edge_new[.]html |
hxxp://149[.]28[.]36[.]182/assests/eng_edge_new[.]html |
hxxp://149[.]28[.]45[.]200/assests/eng_edge_new[.]html |
hxxp://149[.]28[.]56[.]4/assests/eng_edge_new[.]html |
hxxp://199[.]247[.]3[.]159/assests/eng_edge_new[.]html |
hxxp://207[.]246[.]127[.]175/assests/eng_edge_new[.]html |
hxxp://216[.]155[.]135[.]180/assests/eng_edge_new[.]html |