Popups falsos de sitios web populares

Navega tus respuestas
1

Acabo de visitar YouTube.com en Chrome y recibí un mensaje emergente que decía "Tu computadora tiene un virus. Necesitas escanearlo con un antivirus". Creo que tenía los botones "Aceptar" y "Cancelar" como opciones. No era uno de esos ruidosos con sonidos y gráficos, solo el muy simple elemento emergente gris de Chrome en la sección central superior que sé que Chrome usa de vez en cuando.

Lo primero que hice fue mirar hacia la izquierda en el candado verde para asegurarme de que estaba en el sitio web correcto, lo que era, luego apagar mi máquina de inmediato y desconectar el cable de red. En otra máquina, luego busqué si hay un ataque / compromiso en vivo de YouTube, que no encontré. Luego reinicié mi escritorio y verifiqué algunas cosas (HW perf, programas recién instalados, conexiones TCP abiertas, procesos en ejecución, etc.) y no encontré nada extraño. Luego borré toda la memoria caché en mi navegador y volví a YouTube. Todo lo normal.

¿Cuáles son algunas posibilidades sobre lo que pasó?

Solo puedo pensar en malware y XSS. No creo que sea un malware porque habría visto otros signos ... A menos que sea el malware más astuto de la historia, no creo que sea un malware que muestre una falsa advertencia una vez y que nunca haga nada más (aunque podría ser un malware). No me doy cuenta, pero sí tengo un control bastante estricto de mis sistemas y si hago algo phishy lo hago en máquinas virtuales).

Después de borrar la memoria caché, me di cuenta de que podría haber verificado dos veces el historial de navegación para ver si tal vez no era YouTube, pero comprobé el bloqueo TLS al 100% al menos antes de apagarlo.

Y también he visto a otras personas (aunque no tecnológicamente) experimentar algo similar, donde van a un sitio web popular y aún reciben esas ventanas emergentes. Una vez que revisé el historial de navegación después de que algo similar le sucedió a alguien que conozco, y la persona había ido al sitio web correcto. Me encogí de hombros, asumiendo que el usuario final probablemente hizo algo mal. Pero esta es la primera vez que le pasa a mi máquina y tengo más curiosidad acerca de cómo / qué que asustado.

    
pregunta downwardCorgi 27.05.2017 - 02:55
fuente

1 respuesta

3

Pruebe varios navegadores diferentes en esa máquina para ver si todos obtienen la ventana emergente. Si no lo hacen, es posible que tengas una extensión maliciosa o un complemento instalado en Chrome. Si tienen el mismo problema, es posible que sea víctima de un secuestro de DNS en la computadora afectada, ya que otras máquinas en su red local no experimentan este problema (aunque si lo hacen, es posible que su enrutador se haya visto comprometido por el mismo problema). fin). Si abres la configuración de tu adaptador de red, ¿ves algo en la configuración de DNS de IPV4 o IPV6 que no configuraste?

Hubo una publicación de blog muy interesante en un caso similar de secuestro de DNS recientemente en el que un investigador de seguridad encontró guiones maliciosos en sitios web populares, pero solo cuando lo examiné desde su computadora, pero no puedo encontrarlo ahora. Si puedo encontrarlo, lo vincularé aquí.

Editar: solo para abordar el tema de las falsas advertencias, estas pueden ser una buena fuente de ingresos publicitarios si el recuento de la instalación es lo suficientemente alto. Si existe el secuestrador de DNS, probablemente también se estén insertando otros anuncios en las páginas, ya que es más fácil obtener dinero confiable que intentar obtener y vender información personal. Además, en lo que respecta al bloqueo verde, es posible que el sitio principal se resuelva de la misma manera, pero sus dependencias externas (por ejemplo, un cdn de jQuery) se resuelvan en algo que ocasionalmente incrustará un poco más en el contenido original.

    
respondido por el S.C. 27.05.2017 - 04:09
fuente

Lea otras preguntas en las etiquetas

¿Cuáles son las implicaciones de seguridad de habilitar el acceso anónimo de raíz / sudo con sshd en una máquina virtual invitada local? ¿Anónimo pero no hash único? [cerrado]