Техподдержка нового уровня: WoofLocker или как продать воздух – Люди PRO Media

Техподдержка нового уровня: WoofLocker или как продать воздух

Исследователи кибербезопасности обнаружили обновленную версию инструмента для отслеживания и перенаправления интернет-трафика пользователей под названием WoofLocker. Согласно анализу Malwarebytes, инструмент активно используется для проведения мошенничества с технической поддержкой.

Первоначально WoofLocker был замечен исследователями в январе 2020 года . Инструмент использует JavaScript, встроенный в скомпрометированные сайты (в основном, сайты для взрослых), для фильтрации интернет-трафика и проверки наличия ботов. После проверки на устройстве пользователя активируется блокировка браузера (Browlock).

Схема перенаправления WoofLocker

Код JavaScript скрыт внутри PNG-изображения на сайте (стеганография) и активируется только после успешной проверки. Если пользователь определяется как бот или «незначимый» трафик, используется файл-приманка PNG без вредоносного кода.

WoofLocker также известен как 404Browlock из-за того, что посещение URL-адреса browlock напрямую без соответствующего перенаправления или одноразового токена сеанса приводит к странице с ошибкой 404.

Основная цель использования блокировщиков браузера (Browlock) — заставить жертву обратиться за помощью в решении (несуществующих) проблем с компьютером и предоставить злоумышленнику удаленный контроль над компьютером. После решения выдуманных проблем пользователю рекомендуется заплатить за работу «специалиста» службы поддержки.

Кампания также примечательна тем, что она позволяет снимать отпечатки пальцев (fingerprinting) с помощью API-интерфейса WEBGL_debug_renderer_info для сбора свойств графического драйвера жертвы, сортировки реальных браузеров от поисковых роботов и виртуальных машин, и эксфильтрации данных на удаленный сервер, чтобы определить следующий курс действий.

Личность субъекта угрозы до сих пор не установлена, но есть доказательства подготовки к кампании с 2017 года. WoofLocker отличается стабильностью и низкими затратами на обслуживание, и использует надежные регистраторы и хостинг-провайдеры.

Источник: securitylab.ru

Свежий выпуск «Люди PRO»

Свежий выпуск «Мультичела»

Читайте также