Исследователи Barracuda Research описали scareware-кампанию CypherLoc, которая с начала 2026 года использовалась примерно в 2,8 млн атак. Это не классический вирус и не шифровальщик. CypherLoc не блокирует файлы на диске и не требует выкуп в криптовалюте. Все гораздо проще: вирус превращает браузер в декорацию аварии, показывает тревожные сообщения, включает звук, выводит IP-адрес пользователя и заставляет звонить в фальшивую техподдержку.
Главная цель атаки — человек перед экраном. Пользователь видит «заблокированный» браузер, пугается, звонит по номеру на странице и попадает к мошенникам, которые выдают себя за поддержку Microsoft. Дальше сценарий знакомый: выманивание персональных данных, банковской информации, удаленный доступ к устройству или оплата «срочного ремонта».
Раньше страницы для подобных атак выглядели грубо: красный экран, капслок, мигающий баннер и номер телефона. Новый набор действует аккуратнее. Он проверяет окружение, прячет вредоносную логику от автоматических сканеров и запускает scareware-интерфейс только при подходящих условиях.
Сценарий обычно стартует с фишингового письма. В письме есть ссылка или вложение, которое ведет на вредоносную страницу. Сначала сайт может выглядеть обычным: без агрессивных баннеров, всплывающих окон и явных признаков обмана.
Дальше включается проверка окружения. Код страницы анализирует, где он запущен. Если рядом видны признаки песочницы, автоматического сканера или защитного инструмента, страница может не показывать основной вредоносный сценарий. Это помогает обходить часть проверок почтовых шлюзов и систем анализа ссылок.
На компьютере обычного пользователя поведение меняется. Браузер переводится в полноэкранный режим, привычные элементы управления становятся недоступными, курсор может скрываться, контекстное меню отключается, попытки кликнуть или обновить страницу сопровождаются тревожными звуками. Экран начинает напоминать системное предупреждение, хотя это всего лишь веб-страница. Пользователю показывают публичный IP-адрес. Для обычного человека такая строка создает ощущение, что система знает, кто он и проблема уже вышла за пределы браузера.
Scareware — это мошеннический софт или веб-сценарий, который пугает пользователя несуществующей угрозой. Он может сообщать о «вирусах», «взломе», «заблокированном устройстве», «утечке данных» или «опасной активности». Цель — заставить человека действовать быстро.
У CypherLoc нет необходимости ломать операционную систему. Страница имитирует аварию внутри браузера. Технически компьютер может оставаться рабочим, но человек получает ощущение, что устройство захвачено.
Этим scareware отличается от ransomware. Шифровальщик действительно блокирует файлы и требует выкуп. Scareware демонстрирует спектакль. Ущерб появляется после того, как пользователь звонит мошенникам, сообщает данные, устанавливает предложенную программу удаленного доступа или переводит деньги.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
