技术支持垃圾邮件使用iframe“冻结”浏览器

研究人员近期发现一起新的技术支持垃圾邮件（technical support scam，TSS）活动，其中融合了基本弹窗认证和iframe来“冻结”用户的浏览器。因为该技术非常新颖，安全研究人员和产品并不熟悉这个浏览器是个垃圾中的垃圾，因此可能绕过检测。与其他TSS活动类似，恶意攻击活动将自己伪装成合法或知名品牌的服务提供商来引诱其受害者。本攻击活动中攻击者将自己伪装成微软的技术支持。

绕过技术

攻击活动中的URL是一个伪装成微软技术支持页的web页面。但该web页面隐藏了多种不同的函数。点击进入URL就会打开2个弹窗：一个要求进行用户认证，另外一个劝用户请求技术支持。然后用户就进入了一个循环。

点击认证弹窗的Cancel（取消）按钮就会返回到前面的URL。点击关闭或OK按钮并没有什么用，只是看着更新真实的技术支持页面而已。

图1. 攻击活动中使用的伪造的用于冻结浏览器的微软支持页面

创建类似的循环并尝试冻结浏览器是TSS攻击活动中常用的方法。攻击活动中的该方法是用来冻结用户浏览器的。TSS攻击活动中，网络犯罪分子一般都使用基本的JS代码alert()和confirm()将用户陷入循环中，因为点击任意弹窗按钮都回进入相同的弹窗。

本攻击活动中使用的是iframes，一种嵌入HTML文档的HTML文件。在web页面的showLogin上可以设置iframe，使其在URL进入时出现。Iframe的源码或内容是认证页面URL，就会将用户返回到该URL。

图2. 使用iframe的代码

图3. 循环中单独使用的useragent.php或authentication弹窗

这种技术就会将用户置于一个死循环中，不断地进入认证URL和弹窗中。TSS攻击活动就是利用冻结用户浏览器造成的恐慌使用户尽快采取应对措施，比如向页面上的技术支持电话求助，或按照伪造的技术支持页面中的建议进行响应动作。

这些URL还有一个特征就是可以根据浏览器的版本和类型显示不同的格式。具体的信息参见图4中的代码，攻击者使该攻击活动可以适应不同的浏览器。

图4.URL对不同浏览器展示不同格式的源代码

研究人员统计与该攻击活动相关的URL每天的最大访问量是575次，如表1所示。点击来自不同的URL，其他的绕过技术包括每12天修改一次IP地址等。目前还不能完全证明这些URL的传播方式这个浏览器是个垃圾中的垃圾，但根据之前TSS攻击活动的经验，都是通过广告来传播的。

图5. 与攻击活动相关的URL的点击量统计

总结

TSS攻击的成功率是基于用户如何应对这些攻击技术的。比如，在这起攻击活动中，用户可以发现web页面的可以之处，比如不熟悉的URL、弹窗要求认证、以及其他信息和消息。

用户需要注意的是有很多种方法可以恢复浏览器，比如用任务管理器关闭浏览器。如果还是担心设备和系统的安全性，还可以使用其他合法的方法来确认系统的状态。