В сфере киберпреступности наблюдается эскалация тактик, направленных на удержание жертвы на вредоносной странице. Активность мошенников, выдающих себя за службу технической поддержки, вышла на новый уровень, перейдя от простых всплывающих окон к агрессивному использованию легитимных функций современных веб-браузеров. Новая кампания, нацеленная на японскоязычных пользователей, демонстрирует комплексный подход к изоляции жертвы, что значительно повышает эффективность социальной инженерии и усложняет противодействие.
Описание
В основе атаки лежат специально созданные веб-страницы, которые при посещении инициируют каскад событий, лишающих пользователя контроля над браузером и, в конечном итоге, над компьютером. Вместо того чтобы полагаться только на убедительный, но ложный контент, злоумышленники активно эксплуатируют несколько браузерных API (интерфейсов программирования приложений) для создания "ловушки". Среди ключевых техник - принудительная активация полноэкранного режима, что скрывает адресную строку и панели навигации, а также захват управления клавиатурой, что блокирует использование "горячих клавиш" для выхода. Кроме того, при попытке закрыть вкладку или окно скрипт автоматически создает новые, множа проблему.
Особого внимания заслуживает техника исчерпания ресурсов. Страница запускает большое количество так называемых Web Workers - фоновых скриптов JavaScript. Эти воркеры запрограммированы на выполнение бесконечных циклов, что приводит к резкому росту потребления процессорных ресурсов и оперативной памяти. В результате браузер, а иногда и вся система, зависают, делая невозможным не только закрытие вкладки, но и любое другое действие. Это радикально меняет динамику взаимодействия: пользователь, обычно способный просто закрыть подозрительную вкладку, оказывается в ситуации вынужденного бездействия, что повышает вероятность подчинения требованиям мошенников.
Техническая изощренность кампании проявляется и в методах уклонения от обнаружения. Основная вредоносная нагрузка (payload) на странице зашифрована. Дешифровка происходит только при наличии определенного ключа, передаваемого как фрагмент URL. Такой подход эффективно обходит статические средства анализа, такие как простые сигнатуры или фильтры контента, поскольку сам код, загружаемый с сервера, выглядит как бессмысленный набор символов. Для усложнения ручного анализа в песочницах (sandbox) злоумышленники применяют еще один хитрый прием: они внедряют в HTML-код страницы большой объем "шумового" контента. Этот текст посвящен совершенно безобидным темам - кулинарии, садоводству, теории музыки. Системы безопасности, использующие контентный анализ, могут счесть страницу легитимной на основе этого скрытого текста, пропустив вредоносную функциональность.
Инфраструктура для размещения этих страниц также выбрана не случайно. Мошенники используют публичные облачные сервисы, в частности, поддомены "web.core.windows[.]net". Это создает ложное ощущение легитимности, поскольку домен ассоциируется с Microsoft, чьи продукты часто становятся темой для спекуляций в подобных схемах. Пользователь, мельком увидев знакомое название в адресной строке (особенно в условиях стресса из-за зависшего браузера), с большей вероятностью поверит в подлинность предупреждения о "вирусе" или "критической ошибке системы".
По данным мониторинга, масштаб кампании уже значителен: за период с 13 января по 9 февраля 2026 года было зафиксировано 2366 обращений к URL-адресам, связанным с этой активностью, с 285 уникальных IP-адресов. Это указывает на целенаправленное и довольно широкое распространение угрозы.
Подобные атаки представляют серьезную опасность даже для технически подкованных пользователей. Традиционные рекомендации "не нажимать на подозрительные ссылки" остаются в силе, однако новая тактика делает неэффективным и простое закрытие браузера. В результате жертва может пойти на поводу у мошенников, позволив удаленный доступ к компьютеру или оплатив ненужные "услуги" по "очистке системы".
Для специалистов по информационной безопасности этот инцидент служит напоминанием о необходимости многоуровневой защиты. Помимо традиционных антивирусных решений и фильтрации URL, важно рассмотреть внедрение решений класса EDR, способных выявлять аномальное поведение процессов, такое как резкий всплеск потребления ресурсов браузером. Кроме того, эффективной мерой может стать ограничение возможностей браузеров в корпоративной среде через политики групповых политик (GPO), отключающие рискованные API, такие как полноэкранный режим без подтверждения пользователя или доступ к API клавиатурного замка, для непроверенных сайтов. Для обычных пользователей главным советом остается сохранение спокойствия: в случае полного зависания системы безопаснее принудительно завершить работу браузера через диспетчер задач или даже перезагрузить компьютер, чем поддаваться панике и следовать инструкциям на заблокированном экране.
Индикаторы компрометации
IPv4
- 20.150.121.129
- 20.150.14.1
- 20.150.4.33
- 20.150.53.1
- 20.209.168.98
- 20.209.29.2
- 20.209.60.196
- 20.209.87.196
- 20.60.13.228
- 20.60.131.225
URLs
- https://cibibiros.z1.web.core.windows.net
- https://dacenasi.z22.web.core.windows.net
- https://dacezita.z9.web.core.windows.net
- https://fofanelef.z1.web.core.windows.net
- https://gemasoso.z1.web.core.windows.net
- https://irmopawep.z11.web.core.windows.net
- https://riphurcudi.z4.web.core.windows.net
- https://rusubayole.z31.web.core.windows.net
- https://vufiyisot.z22.web.core.windows.net
- https://womoturepi.z36.web.core.windows.net
