Emulando un secuestro de navegador con sobrecarga de memoria

secuestro de navegador

Hacía tiempo que no tenía constancia de un scam semejante.

Al parecer, últimamente se ha hecho bastante popular un fraude basado en un supuesto secuestro del sistema por parte de Microsoft.

La idea no es nueva, ni muchísimo menos, y ha sido ampliamente utilizada por campañas semejantes. Pero la metodología del ataque me parece interesante.

En vez de hacer uso de un popup que se abre al entrar en una web comprometida o realizar una acción específica, en lo que habitualmente llamamos malvertising, en este caso los cibercriminales hacen uso del método history.pushState() de HTML5, que según la documentación (ES), permite enviar datos a la pila del historial de sesión.

Si tiene conocimientos de programación ya sabrá por dónde va el asunto.

La función utilizada es la siguiente:

jQuery(window).load(function(){
var total = "";
for (var i = 0; i < 100000; i++){
total = total + i.toString();
history.pushState(0, 0, total);
}
});

¿Qué se consigue con esto? Que la pila se desborde, elevando artificialmente el uso de la CPU y la RAM hasta que el sistema se bloquea.

Y eso lo hace mientras el navegador muestra una página como la que acompaña a este artículo, alertando de que el sistema parece haber sido comprometido por un malware, y que para salvaguardar la integridad de la información sensible que podamos tener (cuentas bancarias, tarjetas de crédito y contraseñas), lo mejor es que nos pongamos en contacto con el supuesto equipo técnico de Microsoft.

Microsoft Identification-Malware infected website visited. Malicious data transferred to system from unauthorized access. System Registry files may be changed and can be used for unethical activites.

System has been infected by Virus Trojan.worm!055BCCAC9FEC — Personal information (Bank Details, Credit Cards and Account Password) may be stolen. System IP Address 112.15.16.175 is unmasked and can be accessed for virus spreading. Microsoft has reported to the connected ISP to implement new firewall. User should call immediatley to Technical Support 1-844-507-3556  for free system scan.

Por supuesto, basta que llamemos a ese número (que lo más seguro es que sea de pago) para que el teleoperador nos pida algún pago extra, argumentando cualquier excusa que ya tengan preparada (el escaneo inicial puede que sea gratuito, pero habrá que instalar una actualización de sistema nueva y ya le adelanto que tiene un coste, o la píldora necesaria para eliminar el malware no es gratuita…).

Este bug afecta a Chrome y en definitiva a cualquier navegador basado en Chromium. Según explican por MalwareBytes (EN), Google ya está avisado, y parece que la compañía ha decidido bloquear aquellas webs afectadas sin parchear realmente el bug. Leyendo los comentarios de la página, algunos alertan que la campaña está siendo desplegada también por Francia utilizando el francés como lengua, así que no me extrañaría que tarde o temprano lo veamos por estos lares.

Y puesto que el secuestro de navegador no es real, tiene una solución tan sencilla como darle a control+alt+supr, buscar el proceso de Chrome que está comiendo casi toda la RAM, y finalizarlo.

Pero claro, esto lo sabe usted y lo sé yo, no el grueso de víctimas a las que van dirigidas este tipo de extorsiones.

El punto medio entre el malvertising y el ransomware

Decía que la campaña me había llamado la atención, y no es para menos.

Aprovecha de forma brillante un bug de uno de los navegadores más utilizados por el usuario, y en tan solo unas pocas líneas, consigue crear un DDoS fake que a efectos prácticos deja incapacitado el dispositivo.

Para colmo, lo monetizan como si de un ransomware se tratase, jugando con algunos de los ganchos habituales de la ingeniería social (necesidad urgente de tomar acción, a sabiendas que de no hacerlo podemos correr mayores riesgos). Pero lo mejor de todo es que no deja de ser un malvertising de guión.

Una evolución bastante inteligente de la típica publicidad engañosa:

Ojo, que nuestro dispositivo tiene un troyano, y para solucionarlo… debe bajar este software de “limpieza” que le va a dejar muy limpia su sesión, sobre todo a nivel de datos personales :).

Y como cada vez (quiero pensar) este tipo de campañas son menos exitosas, lo adoba con ese desborde que colapsa el sistema. No hace falta por tanto incluir las dichosas alertas que bloquean temporalmente al usuario a falta de que éste le de click a alguna de sus acciones. Simplemente el bloqueo ocurre, y de nada sirve intentar cerrar la pestaña porque lo que bloquea es el propio navegador, y con él el resto del sistema.

Luchar contra este tipo de campañas se vuelve por momentos más difícil. A fin de cuentas, a los malos les basta con encontrar un solo fallo para aprovecharse de él varias semanas, mientras que los buenos tienen que tener en cuenta cualquier potencial vector de ataque y destinar recursos según la importancia que éste tenga frente a los múltiples frentes abiertos que de seguro ya tendrán.

De cara al usuario, estamos vendidos completamente.

Puede que para los aquí presentes una alerta de este tipo huela de lejos a fraude, pero para alguien como mi madre, sin conocimientos de informática de ningún tipo, es un anuncio de Microsoft (esa empresa de ordenadores…) que le ha bloqueado su ordenador. Punto.

De hecho, cada vez que voy a su casa tiene ya instalados lo mínimo un par de extensiones maliciosas que se encargan de que la pobre mujer, y aún teniendo adblockers instalados por defecto en su navegador, tenga que sufrir estas campañas una y otra vez.

La amplia mayoría de usuarios de Internet no son como usted o como un servidor. Están más cerca de mi madre. De ahí que sea muy pesado con la importancia que tiene el que sea la propia tecnología la que establezca la seguridad, delegando lo justo y necesario en el usuario.

Un bloqueo inteligente de todo tipo de extensiones y popups que huelan a chamusquina, y si lo prefiere, la opción de que sea el usuario quien decida estar o no tutelado por la máquina.

Establecer algo así mediante listas blancas y negras es un trabajo titánico, pero no difiere mucho de lo que ya está haciendo la propia Google a la hora de elegir qué tipo de publicidad quiere mostrar en Adwords, y qué tipo de páginas debe eliminar de sus búsquedas.

Es la única opción que se me ocurre para acabar con un malvertising que sigue siendo, a día de hoy, una de las principales vías de monetización de la industria del crimen.

Que el navegador sirva para algo más que para navegar. Que él se encargue de tutelar al usuario medio. Y que de opción a aquellos que quizás estamos más capacitados para enfrentarnos a este páramo hostil.

Pero que lo segundo sea lo optativo. Por ahí deberían ir los tiros, y por ahí parece que acabarán yendo.