¿Tu navegador se ha bloqueado? Podría ser una estafa

Como todos sabemos, los técnicos de soporte falsos (scammers) están al acecho para engañarnos haciendo que pensemos que de verdad necesitamos de sus servicios. Para ello utilizan diferentes tácticas según el sistema y el usuario al que se dirigen.

Scam es un término anglosajón que se emplea familiarmente para referirse a las estafas por medios electrónicos. Se usa para definir los intentos de estafa a través de un correo electrónico fraudulento

En ciertos casos intentan suplantar la identidad de nuestro ISP –proveedor de servicios de telefonía o internet- y en otras puede tratarse de una amenaza de borrado de nuestros archivos si no contactamos con ellos inmediatamente.

El caso es que los usuarios, gracias en parte a la información que dedicamos muchos blogs y autoridades a ello, se han vuelto más sabios y ya no caen tan fácilmente  en dichas trampas.

Por este motivo, en lugar de simplemente asustar al usuario, muchos ciberdelincuentes están ahora intentando realmente negar al usuario el uso normal o el acceso a determinadas funciones de su sistema. De eso es de lo que hablaremos hoy.

Los estafadores consiguen que el navegador se cuelgue

Este nuevo truco de los scammers aprovecha una vulnerabilidad presente en HTML5 desde 2014 y llega a consumir más de la mitad de la CPU, cantidades ingentes de RAM y acaba por dejar el navegador congelado, aunque el proceso no se bloquea por completo.

Todo lo que necesitamos para explotar el fallo es un valor extremadamente alto en la función loop de JavaScript. Un loop puede ejecutar un bloque de código un número indeterminado de veces.

Para abusar de dicha función hay que modificar el valor en history.pushState() dentro de HTML5, un método que envía (empuja) datos hacia el bloque histórico de sesión, junto a un título y URL si estas son proporcionadas.

Después, esto se combina con una ventana de soporte falso de Microsoft y es cuando el scam empieza a parecer más realista.

Hasta ahora solo se ha visto dicha estafa en inglés, y este es el texto que se puede apreciar en la imagen, que viene a decirnos que hemos sido (supuestamente)  infectados con un troyano.

Microsoft.Inc Warning!System has been infected

Microsoft Identification-malware infected website visited.Malicious data transferred to system from unauthorized access.System Registry files may be changed and can be used for unethical activities.

System has been infected by Virus Trojan.worm!055BCCAC9FEC – Personal information (Bank Details, Credit Cards and Account Password) may be stolen.System IP address 112.15.16.175 is unmasked and can be accessed for virus spreading.Microsoft has reported to the connected ISP to implement new firewall.Users should call immediately to Technical Support 1-844-507-3556 for free system scan.

Particularidades

Lo cierto es que si piensas que podrías cerrar dicho proceso con el administrador de tareas de Windows, te equivocas. Al menos no siempre es posible, como explica Jerome Segura, de Malwarebytes:

Dependiendo de las especificaciones del equipo afectado, podría no ser posible siquiera lanzar el administrador de tareas para cerrar el proceso. La otra opción sería efectuar un reinicio forzoso ante la imposibilidad de que responda. Se haga lo que se haga, no se debe llamar a ningún teléfono de “soporte”, ya que no se trata de Microsoft sino de un grupo de estafadores esperando conseguir varios cientos de dólares.

Malwarebytes ha contactado posteriormente con el grupo responsable de la navegación segura de Google. Puede ser una vulnerabilidad que data de 2014, pero si es cierto que se sigue explotando hoy en día, también hay que solucionarlo definitivamente.

Como evitar ser víctima de este engaño

Lo primero es ser prudentes y no hacer clic sobre enlaces sospechosos, incluyendo los acortados porque en ocasiones contienen malware. Para destapar el destino de un enlace acortado podemos utilizar extensiones como UnshortenIt. Tampoco está de más contar con un buen bloqueador de pop-up como Ublock Origin.

Además, si observamos algo similar lo primero es intentar detener el proceso del navegador mediante el administrador de tareas y reiniciar el equipo si no es posible.

Uno de los principales problemas es que este scareware puede aparentar que realmente hemos sido infectados, por eso en cualquier caso lo que deberemos hacer es utilizar herramientas como Rkill, AdwCleaner o un escáner antimalware para asegurarnos.