Мошенники, выдающие себя за техподдержку, взяли на вооружение новую атаку для перехвата сеанса пользователей браузера Chrome. Согласно отчету специалистов компании Malwarebytes, для перехвата сессии мошенническая группировка Partnerstroka использует технику под названием «злой курсор» (evil cursor).

Через вредоносную рекламу на сайтах жертвы перенаправляются на поддельные web-страницы, которые «замораживают» браузер, и пользователи не могут ни закрыть вкладку или окно, ни перейти на другой сайт или на рабочий стол ОС (техника browlock).

По словам исследователей, используемая Partnerstroka техника browlock ориентирована на последнюю сборку Google Chrome 69.0.3497.81. В общей сложности исследователи обнаружили 16 тыс. доменов, используемых в данной кампании.

Для «заморозки» браузера мошенники Partnerstroka используют перехват курсора мыши. Когда пользователь кликает на кнопку, чтобы закрыть сайт, на самом деле он кликает совсем в другое место, и сайт, соответственно, не закрывается.

Техника «злой курсор» основывается на HTML-коде, декодирующим курсор мыши с низким разрешением. Как пояснили исследователи, добавление прозрачного пикселя 128Х128 превращает мышь в «большую коробку». Жертва думает, будто кликает в одной определенной точке, но на самом деле туда не попадает. Поскольку пользователь не может кликнуть в одно определенное место, он не может закрыть сайт или браузер.

Технику постепенно начинают осваивать и другие группировки. Кроме того, она входит в набор инструментов для мошенничества.