В феврале 2026 года антифрод-команда D3Lab проанализировала фишинг-кит, который содержал JavaScript-файл с именем "ss1.js". Этот скрипт, позиционируемый как «SafeBrowsingBlocker», пытается помешать проверкам Google Safe Browsing (безопасного просмотра), блокируя сетевые запросы к доменам этой службы и отключая механизмы предварительной загрузки и рендеринга в браузере. Однако технический анализ показывает, что данный подход в основном неэффективен против основного защитного механизма.
Описание
Скрипт загружается в разделе "<head>" фишинг-страницы и инициализируется немедленно. Его работа строится на нескольких ключевых техниках. Во-первых, он переопределяет стандартные функции "fetch" и "XMLHttpRequest.prototype.open", чтобы блокировать запросы к жестко заданному списку эндпоинтов Google Safe Browsing. Во-вторых, он пытается удалить из документа HTML-теги "<link>", ответственные за предварительную загрузку ресурсов. Кроме того, скрипт перехватывает функцию "navigator.sendBeacon", используемую для отправки телеметрии, и внедряет строгую политику безопасности контента (CSP) через мета-тег, разрешающую загрузку ресурсов только с того же источника.
Несмотря на кажущуюся сложность, анализ демонстрирует фундаментальную уязвимость этой схемы. Браузерные предупреждения Safe Browsing, так называемые интерстициальные страницы, срабатывают на более низком уровне. Решение о блокировке опасной страницы принимается движком безопасности браузера ещё до того, как начинает исполняться любой JavaScript, включая вредоносный скрипт. Таким образом, попытки заблокировать сетевые запросы со стороны страницы происходят слишком поздно и на неправильном уровне. Они не могут повлиять на уже принятое браузером решение.
Фактически, основное воздействие скрипта сводится к побочным эффектам. Он может нарушить работу легитимных внешних ресурсов на самой фишинг-странице из-за жёсткой CSP, а также помешать отправке некоторых аналитических данных. Однако его прямая цель - обход системы безопасного просмотра - остаётся недостижимой. Этот случай является ярким примером «безопасности для галочки» в инструментарии злоумышленников, когда создаётся видимость сложного обхода защиты, не решающая реальной задачи.
Для специалистов по информационной безопасности данный скрипт, тем не менее, представляет интерес как индикатор компрометации (IoC). Он позволяет выявлять фишинг-кампании, использующие схожие методы. Ключевыми индикаторами являются имя файла "381890/ss1.js", определённый хеш SHA-256, имя класса "SafeBrowsingBlocker" и текстовая строка с названием. На момент анализа в феврале 2026 года скрипт почти не был представлен в публичных системах сканирования, что указывает на его новизну и ограниченное распространение.
Итоговая оценка экспертов однозначна: «SafeBrowsingBlocker» демонстрирует попытку противодействия клиентским проверкам, но оказывается бесполезным против базовых механизмов безопасности современных браузеров. Для злоумышленников это тупиковый путь, а для защитников - полезный поведенческий маркер, свидетельствующий об использовании фишинг-китов с поверхностными мерами маскировки.
Индикаторы компрометации
SHA256
- 50b9d271cd021f47587f8b85570b30a544a23ebfcea8d9a81a930bedbf9f2b19
