Nieuwe gijzelkit CypherLoc treft al miljoenen browsers
De aloude ‘frozen screen’-fraude heeft een geavanceerde en uiterst agressieve technologische metamorfose ondergaan. Cyberbeveiligingsbedrijf Barracuda Research waarschuwt voor een grootschalige aanvalscampagne rond de zogeheten ‘CypherLoc-scarewarekit’. Sinds het begin van dit jaar zijn er al zo’n 2,8 miljoen van dit soort browseraanvallen waargenomen. De tactiek is geraffineerd: slachtoffers worden psychologisch klemgezet in een digitaal gijzelscenario.
Waar traditionele techsupport-scams vaak vertrouwden op simpele pop-ups, gebruikt CypherLoc geavanceerde stealth-technieken om detectie door securityscanners en zandbakomgevingen (sandboxes) te omzeilen. Pas wanneer de malafide code zeker weet dat er een echt slachtoffer kijkt, slaat de val dicht zo blijkt uit het onderzoek van Barracuda Research.
De gijzeling van de browser
De aanvalsketen begint doorgaans met een klassieke phishing-e-mail die een kwaadaardige link bevat. Zodra het slachtoffer hierop klikt, opent een webpagina die er op het eerste gezicht onschuldig uitziet. Achter de schermen controleert de verborgen code of er beveiligingssoftware actief is. Is dat niet het geval? Dan schakelt de pagina de browser direct over naar de volledige schermmodus (full screen).
Vanaf dat moment verliest de gebruiker de controle:
Blokkade van bediening: De muiscursor wordt verborgen, menu’s worden uitgeschakeld en pogingen om het venster te sluiten worden actief geblokkeerd.
Gecontroleerde crash: Probeert een technisch onderlegde gebruiker de paginacode te inspecteren via de ingebouwde browsertools? Dan vertraagt de pagina de browser direct of laat deze opzettelijk crashen.
Psychologische oorlogsvoering op het scherm
Om de illusie van een acute cyberaanval te versterken, zetten de criminelen zware psychologische drukmiddelen in. Slachtoffers worden geconfronteerd met luide waarschuwingsgeluiden, herhaalde foutmeldingen en de prominente weergave van hun eigen IP-adres. Valse inlogformulieren die niet functioneren moeten de paniek compleet maken.
Het uiteindelijke doel van deze gijzeling is om het slachtoffer te dwingen het telefoonnummer te bellen dat pontificaal op het scherm verschijnt. Wie belt, komt terecht bij een frauduleuze helpdesk waar professionele oplichters via social engineering proberen inloggegevens te ontfutselen of bankrekeningen leeg te trekken.
"CypherLoc laat zien hoe moderne scareware verschuift van traditionele malware naar browsergebaseerde oplichting die zeer effectief is en nauwelijks technische sporen achterlaat", verklaart Saravanan Mohankumar, Manager van het Threat Analysis Team bij Barracuda. "De kit gebruikt de browser zelf om een overtuigende illusie van een ernstig systeemprobleem te creëren en dwingt de gebruiker zo tot handelen."
Hoe wapent u zich hiertegen?
Beveiligingsexperts benadrukken dat een combinatie van robuuste anti-phishingsoftware, up-to-date browserbeveiliging en endpointsecurity noodzakelijk is om het verdachte scriptgedrag in de kiem te smoren.
Daarnaast blijft user awareness de belangrijkste verdedigingslinie. Organisaties en consumenten moeten er alert op zijn dat legitieme securitywaarschuwingen van bijvoorbeeld Microsoft of Apple nooit telefoonnummers tonen, de browser niet vergrendelen en geen directe actie via dwingende pop-ups eisen. Mocht het scherm toch bevriezen, dan is het handmatig afsluiten van het browserproces via het Taakbeheer (of een harde herstart van het systeem) vaak de veiligste weg uit de digitale gijzeling.
Over Witold Kepinski
