Los investigadores de MalwareBytes han detallado una versión actualizada de un kit de herramientas avanzado de reconocimiento y redirección llamado WOOFLocker que está diseñado para realizar estafas de soporte técnico.
El sofisticado esquema de redirección de tráfico fue documentado por primera vez en enero de 2020, aprovechando JavaScript incrustado en sitios web comprometidos para realizar comprobaciones de filtrado de tráfico web y anti-bot para servir JavaScript de próxima etapa que redirige a los usuarios a un casillero del navegador (también conocido como browlock).
Este mecanismo de redirección, a su vez, utiliza trucos esteganográficos para ocultar el código JavaScript dentro de una imagen PNG que se muestra solo cuando la fase de validación es exitosa. Si un usuario es detectado como un bot o como tráfico no interesante, se utiliza un archivo PNG señuelo sin el código malicioso.
WOOFLocker también se conoce como 404Browlock debido al hecho de que visitar la URL de browlock directamente sin la redirección adecuada o el token de sesión única da como resultado una página de error 404. El último análisis de la firma de ciberseguridad muestra que la campaña aún está en curso.
"Las tácticas y técnicas son muy similares, pero la infraestructura ahora es más robusta que antes para derrotar posibles intentos de eliminación", dijo Jérôme Segura, director de inteligencia de amenazas de Malwarebytes. "Es tan difícil ahora como entonces reproducir y estudiar el mecanismo de redireccionamiento, especialmente a la luz de los nuevos controles de fingerprinting para detectar la presencia de máquinas virtuales, ciertas extensiones de navegador y herramientas de seguridad."
La mayoría de los sitios que cargan WOOFLocker son sitios web para adultos, cuya infraestructura utiliza proveedores de alojamiento en Bulgaria y Ucrania que brindan a los actores de amenazas una mayor protección contra las eliminaciones.
El objetivo principal de los bloqueadores de navegador es lograr que las víctimas específicas soliciten asistencia para resolver problemas (inexistentes) de la computadora y obtener control remoto sobre la computadora para redactar una factura que recomiende a las personas afectadas pagar por una solución de seguridad para abordar el problema.
"Esto lo manejan terceros a través de centros de llamadas fraudulentos. El actor de amenazas detrás de la redirección del tráfico y el bloqueo de cejas recibirá un pago por cada cliente potencial exitoso".
La identidad exacta del autor de la amenaza sigue siendo desconocida y hay pruebas de que los preparativos para la campaña ya estaban en marcha en 2017.
"A diferencia de otras campañas que se basan en la compra de anuncios y jugar al topo con proveedores de alojamiento y registradores, WOOFLocker es un negocio muy estable y de bajo mantenimiento", dijo Segura. Los sitios web que alojan el código malicioso se han visto comprometidos durante años, mientras que la infraestructura de registro de huellas y bloqueo del navegador parece estar utilizando proveedores sólidos de registro y alojamiento.
Lo que distingue a esta campaña es su capacidad para tomar huellas de los visitantes utilizando la API WEBGL_debug_renderer_info para recopilar las propiedades del controlador de gráficos de la víctima para separar los navegadores reales de los rastreadores y las máquinas virtuales y filtrar los datos a un servidor remoto para determinar el siguiente curso de acción.
Al usar un mejor filtrado antes de redirigir a las víctimas potenciales al malware, los actores de amenazas se aseguran de que sus anuncios e infraestructura maliciosos permanezcan en línea por más tiempo. No solo hace que sea más difícil para los defensores identificar e informar tales eventos, sino que probablemente también tenga un impacto en las acciones de baja del sitio.
La revelación se produce cuando la compañía detalló una nueva cadena de infección de publicidad maliciosa que implica el uso de anuncios falsos en los motores de búsqueda para dirigir a los usuarios que buscan programas de acceso remoto a sitios web que descarga malware. Muchas de estas estafas están dirigidas a niños e intentan engañarlos para que descarguen aplicaciones, malware o envíen datos personales a cambio de recompensas inexistentes en plataformas de juegos en línea como Fortnite y Roblox.
Fuente: THN