Новая версия фреймворка научилась шпионить и использовать стеганографию.
Специалисты по кибербезопасности обнаружили новую версию инструмента WoofLocker, используемого для маскировки и перенаправления трафика. Фреймворк позволяет хакерам проворачивать мошеннические схемы. Например, выдавая себя за специалистов технической поддержки.
Впервые WoofLocker описала компания Malwarebytes в январе 2020 года. Фреймворк написан на JavaScript, который внедряется в скомпрометированные сайты, фильтруя трафик и перенаправляя пользователей на «блокирующие» веб-страницы (так называемые browlocks).
«Тактики и методы остались очень похожими (по сравнению с первоначальной версией), но инфраструктура теперь более устойчива к попыткам ликвидации», — сказал Жером Сегюра, директор по угрозам в компании Malwarebytes.
Интересная особенность — стеганографические методы. Они позволяют скрыть вредоносный код в обычном PNG-изображении, что затрудняет обнаружение мошеннической активности. Код активируется только в случае, если система определяет пользователя как «легитимного» или «интересного», то есть подходящего для кампании. Если же посетитель оказывается ботом или обнаруживается «нецелевой» трафик, программа отображает фальшивый PNG-файл без вредоносного кода.
WoofLocker также известен как 404Browlock, поскольку при попытке открыть URL напрямую, без предварительного перенаправления или одноразового токена сессии, пользователь увидит страницу с ошибкой 404.
Еще одна из уникальных особенностей этой кампании — применение API WEBGL_debug_renderer_info для маркировки посетителей. WoofLocker собирает информацию о драйверах графического адаптера жертвы, отделяет реальные браузеры от автоматических сканеров и виртуальных машин, а еще сохраняет и отправляет эти сведения на удаленный сервер. «Благодаря более качественной фильтрации перед перенаправлением потенциальных жертв на вредоносные сайты, злоумышленники удерживают свою инфраструктуру в сети на более длительный срок», — объяснил Сегюра.
Большинство сайтов, распространяющих WoofLocker, принадлежат категории «для взрослых». Инфраструктура использует хостинг-провайдеров в Болгарии и Украине, что обеспечивает дополнительную защиту.
В результате запуска фреймворка жертва не может закрыть окно или предпринять что-либо еще. Изображение на экране как бы застывает. Основная цель «блокировщиков браузеров» — заставить человека обратиться за технической помощью, чтобы затем получить удаленный доступ к компьютеру и выставить счет за услуги по решению несуществующих проблем.
Еще в 2020 году Сегьюра отмечал: «Процесс контролируется третьими сторонами через мошеннические колл-центры. Злоумышленник, ответственный за перенаправление трафика и блокировку, получает оплату за каждый успешный лид».
Исследования показывают, что сайты, принадлежащие правительственным агентствам США, университетам и другим организациям, последние пять лет использовались для распространения мошеннических предложений и акций через зараженные PDF-файлы. Множество этих атак нацелено на детей — им предлагают скачать приложение или предоставить личные данные в обмен на несуществующие награды в онлайн-играх, таких как Fortnite и Roblox.
WoofLocker — это устойчивый и низкозатратный метод мошенничества, отличающийся от других кампаний, которые полагаются на рекламу и игру «в кошки-мышки» с хостинг-провайдерами и регистраторами.
Есть доказательства того, что подготовка к текущей кампании велась с 2017 года. Пока что неизвестно, кто именно за этим стоит: конкретная личность или группа лиц.
Никаких овечек — только отборные научные факты