新型鼠标光标劫持攻击技术分析及防御指南

攻击概述

研究人员发现了一种新型的技术支持诈骗技术，能够劫持Google Chrome用户的浏览会话。这种攻击被称为"恶意光标"技术，主要针对Chrome浏览器版本69.0.3497.81。

攻击技术细节

技术支持诈骗背景

• 攻击者常利用微软Windows技术支持站点作为诈骗工具
• 常见传播途径：搜索引擎感染和恶意广告攻击
• 浏览器锁定技术是关键组成部分

恶意光标技术特点

1. 会话劫持机制：

   • 将用户重定向到嵌入了新型浏览器锁定技术的伪造页面
   • 劫持用户鼠标，使其无法正常关闭页面

2. 技术实现：

   • 利用Chrome浏览器漏洞：HTML代码无法正确解码低分辨率鼠标光标
   • 将光标变成128x128像素的透明"大方框"
   • 用户点击特定位置时实际点击的是其他地方

3. 传播方式：

   • 通过多个恶意广告网络和恶意链接传播
   • 涉及16000多个恶意域名

攻击流程

1. 用户被重定向到恶意页面（通过恶意广告或链接）
2. 页面加载恶意光标劫持代码
3. 用户尝试关闭页面时：
   • 点击"关闭"按钮实际点击其他位置
   • 页面保持打开状态
4. 攻击者展示虚假警告（如"您的PC已感染病毒"）
5. 弹出多个"技术支持"窗口
6. 推销所谓的"反病毒产品"（实际是恶意软件）

与其他攻击的区别

传统浏览器锁定技术：

• 主要依赖JavaScript函数实现

恶意光标技术：

• 通过劫持鼠标物理操作实现锁定
• 更难被用户察觉和规避

影响范围

• 主要影响：Google Chrome浏览器（特别是69.0.3497.81版本）
• 攻击活动仍在持续进行
• 已被多个网络犯罪组织采用
• 已整合到多种网络攻击工具中

防御措施

1. 浏览器更新：

   • 确保Chrome浏览器保持最新版本
   • 特别关注安全补丁更新

2. 安全防护：

   • 安装并更新可靠的反病毒/反恶意软件解决方案
   • 启用浏览器内置的安全防护功能

3. 用户教育：

   • 警惕"技术支持"类弹窗
   • 不轻信"您的PC已感染病毒"等警告
   • 不下载不明来源的"安全软件"

4. 浏览习惯：

   • 避免点击可疑广告和链接
   • 使用广告拦截扩展程序

5. 应急处理：

   • 遇到可疑页面时使用任务管理器强制关闭浏览器
   • 不按照页面提示操作

技术发展趋势

• 浏览器未记录的功能可能成为新的攻击向量
• 攻击者持续寻找新的漏洞利用方式
• 防御需要持续关注安全研究和更新

总结

"恶意光标"技术支持诈骗技术代表了浏览器会话劫持攻击的新发展，通过物理层面的鼠标操作劫持实现更隐蔽的攻击效果。用户和IT管理员应提高警惕，采取多层次防御措施，并及时关注安全公告以获取最新防护信息。