Pesquisadores da Barracuda identificaram um sofisticado “scareware” para navegador, que utiliza técnicas avançadas de evasão, controles agressivos de navegação e até manipulação psicológica para induzir vítimas a ligarem para números falsos de suporte técnico. O scareware se chama o CypherLoc e está no relatório publicado pela empresa dia 20. Desde o início do ano, a Barracuda observou cerca de 2,8 milhões de ataques com esse kit.
O ataque geralmente começa com um e-mail de phishing, que direciona a vítima a uma página maliciosa. O código malicioso fica oculto dentro de um payload criptografado, embutido na página. O código só é descriptografado quando a página é aberta sob condições específicas: quando o fragmento de hash da URL está presente e a página passa por verificações de integridade criptográfica. Se o fragmento estiver ausente ou a página for aberta em um scanner ou sandbox, a carga maliciosa não é executada.
Travamento do navegador e táticas psicológicas
Após a decifração bem-sucedida, a página original se apaga e uma nova interface de scareware assume o controle em tela cheia, desabilitando menus de contexto, escondendo o cursor e cobrindo a tela com sobreposições. Qualquer tentativa de recuperar o controle aciona um “relock”. A página também reproduz sons de alerta automaticamente, exibe o endereço de IP da vítima para parecer personalizada e apresenta formulários de login falsos – que nunca processam as credenciais – apenas para prolongar a permanência da vítima.
Um número de telefone de suporte falso é exibido em destaque como a única maneira de resolver o problema. Quando as vítimas ligam, operadores humanos se passando por suporte da Microsoft assumem o golpe por meio de uma conversa ao vivo.
Se alguém tentar inspecionar a página com as ferramentas do desenvolvedor (especialmente a aba Network), o CypherLoc dispara uma enxurrada de atividades: ativos recarregam, pipelines de mídia reiniciam e layouts são recalculados repetidamente, tornando o navegador instável. A Barracuda recomenda que as equipes de segurança implementem proteções robustas anti-phishing, de navegador e de endpoint, e priorizem a educação do usuário – alertas de segurança legítimos não exibem números de telefone, não travam navegadores nem exigem ação imediata por meio de pop-ups.






