Злоумышленники эксплуатируют до сих пор неисправленную уязвимость двухлетней давности.
Кибермошенники взяли на вооружение ошибку в Chrome, обнаруженную еще в июле 2014 года, однако до сих пор неисправленную.
Проблема была обнаружена в Chrome 35 и затрагивает history.pushState() – метод, представленный с HTML5 и позволяющий разработчикам добавлять URL-адреса в историю сеансов браузера. Добавление большого количества адресов (тысяч или даже миллионов) не вызовет аварийное завершение работы браузера, однако может привести к его «зависанию». Поскольку Chrome будет использовать большую часть доступной памяти устройства и ресурсов процессора, работа операционной системы существенно замедлится.
Google известно о проблеме, однако эксперты компании классифицировали уязвимость как низкого уровня опасности и отложили релиз патча на неопределенное время. Как сообщают эксперты Malwarebytes, спустя более двух лет после обнаружения ошибки мошенники создали так называемую «команду техподдержки», использующую уязвимость в своих целях. После «зависания» браузера жертвы на экране устройства отображается фальшивое уведомление с указанием номера телефона «команды техподдержки», готовой оказать помощь в починке компьютера.
В зависимости от характеристик компьютера, жертва не всегда может запустить менеджер задач и завершить все процессы браузера. В таком случае поможет «холодная» перезагрузка системы.
