21/08/23
Исследователи кибербезопасности Malwarebytes обнаружили обновленную версию инструмента для отслеживания и перенаправления интернет-трафика пользователей под названием WoofLocker. Первоначально WoofLocker был замечен исследователями в январе 2020 года. Инструмент использует JavaScript, встроенный в скомпрометированные сайты (в основном, сайты для взрослых), для фильтрации интернет-трафика и проверки наличия ботов. После проверки на устройстве пользователя активируется блокировка браузера (Browlock).
Код JavaScript скрыт внутри PNG-изображения на сайте (стеганография) и активируется только после успешной проверки. Если пользователь определяется как бот или «незначимый» трафик, используется файл-приманка PNG без вредоносного кода.
WoofLocker также известен как 404Browlock из-за того, что посещение URL-адреса browlock напрямую без соответствующего перенаправления или одноразового токена сеанса приводит к странице с ошибкой 404. Об этом пишет Securitylab.
Основная цель использования блокировщиков браузера (Browlock) — заставить жертву обратиться за помощью в решении (несуществующих) проблем с компьютером и предоставить злоумышленнику удаленный контроль над компьютером. После решения выдуманных проблем пользователю рекомендуется заплатить за работу «специалиста» службы поддержки.
Кампания также примечательна тем, что она позволяет снимать отпечатки пальцев (fingerprinting) с помощью API-интерфейса WEBGL_debug_renderer_info для сбора свойств графического драйвера жертвы, сортировки реальных браузеров от поисковых роботов и виртуальных машин, и эксфильтрации данных на удаленный сервер, чтобы определить следующий курс действий.
Личность субъекта угрозы до сих пор не установлена, но есть доказательства подготовки к кампании с 2017 года. WoofLocker отличается стабильностью и низкими затратами на обслуживание, и использует надежные регистраторы и хостинг-провайдеры.
