Pobieraniowa bomba znów zagraża Google Chrome, przenieść ją mogą złośliwe reklamy

„Bomba pobieraniowa” to sztuczka wykorzystywana przezcyberprzestępców w celu wystraszenia zwykłych użytkownikówprzeglądarek tak, by zapłacili za całkowicie zbyteczneoprogramowanie czy zadzwonili na bardzo kosztowne numery telefonicznepremium. Była ona prawdziwą plagą na forach internetowychostatniej zimy – i niestety znów wraca w ulepszonej wersji.

Bombę pobieraniową („download bomb”) można uznać za formęataku DoS skierowanego na przeglądarkę. Nie obchodzi ona żadnychzabezpieczeń, nie uruchamia żadnego obcego kodu, lecz i tak potrafizaszkodzić. Aby taki atak przeprowadzić, napastnicy wstrzykiwali wstronę internetową swój kod JavaScriptu (np. za pomocąuzłośliwionej reklamy), który inicjował tysiące operacjipobierania plików. Wykorzystywano w tym celu metodę lokalnegozapisywania plików window.navigator.msSaveOrOpenBlob z konstruktoremBlob, pozwalającym na łatwe tworzenie i manipulowanie binarnymiplikami. Przykład takiego ataku znajdziecie tutaj.

Potraktowana w ten sposób przeglądarka po prostu zamierała,przeciążając system użytkownika, zajmując całą dostępnąpamięć. Zanim jednak to się stało, skrypt wyświetlał komunikato zagrożeniu – np. ostrzegający, że *dostawca internetuzablokował komputer, ponieważ wykrył na nim złośliweoprogramowanie, wykradające numery kart kredytowych i prywatnezdjęcia. *Co robić? Bez obaw,jeśli zadzwonisz w ciągu 5 minut na podany numer telefonu,inżynierowie Microsoftu pomogą usunąć malware i odblokująkomputer.

Dla kompetentnego technicznieużytkownika to oczywiście piramidalna bzdura, ubije procesprzeglądarki za pomocą systemowego Menedżera Zadań i będzieuzłośliwionej strony unikał. Ale co z milionami niekompetentnych?W lutym tego roku Malwarebytes ostrzegało,że ataki za pomocą bomby pobieraniowej wymierzonej w użytkownikówprzeglądarki Chrome znacznie przybrały na sile. Działały one teżoczywiście na przeglądarkach zbudowanych na bazie Chromium, takichjak Opera czy Vivaldi.

W marcu Google wydało Chrome 65,które nadużycia Bloba zneutralizowało – przeglądarka ignorowałapróby wymuszenia pobrań plików. Nie na długo jednak. 22 czerwcapo raz pierwszy odkrytonowy atak bombą pobieraniową, działający na aktualnym Chrome 67(wersja 67.0.3396.87). Zamraża on całkowicie interfejs użytkownikaprzeglądarki i faktycznie zaczął się pojawiać na stronachpodejrzanej reputacji.

Jérôme Segura, ekspertMalwarebytes, który analizował poprzednią „bombową” kampanięzwracauwagę, że na taki atak podatne są nie tylko przeglądarkichromopodobne, ale też Firefox.Obie przeglądarki Microsoftu są za to odporne na tę sztuczkę –a przynajmniej nie znaleziono dla nich udanej metody nadużyciawspomnianych mechanizmów pobierania plików.

Co zrobić, jeśli zdarzy sięWam wylądować na tak uzłośliwionej stronie, która zamroziprzeglądarkę? Oczywiście przede wszystkim nigdzie nie dzwonić.Następnie należy poprzez Ctrl-Alt-Del wywołać menedżera zadań iubić proces przeglądarki. A gdy uruchomicie ją ponownie zprzywracaniem sesji, należy jak najszybciej zamknąć kartę zestroną, która taką złośliwą bombę zawierała – nie zdążysię ona załadować i uniknięcie kłopotu.