网络安全研究人员详细介绍了一个名为WoofLocker的高级指纹和重定向工具包的更新版本,该工具包旨在进行技术支持诈骗。
Malwarebytes在2020年1月首次记录了复杂的流量重定向方案,利用嵌入在受感染网站中的JavaScript执行反爬虫程序和网络流量过滤检查,以提供下一阶段的JavaScript,将用户重定向到浏览器锁(又名浏览器锁)。
这种重定向机制反过来利用隐写技巧将JavaScript代码隐藏在PNG图像中,只有在验证阶段成功时才提供该图像。如果用户被检测为机器人或不感兴趣的流量,则使用不含恶意代码的诱饵PNG文件。
WoofLocker也被称为404Browlock,因为直接访问browlock URL而不进行适当的重定向或一次性会话令牌会导致404错误页面。
网络安全公司的最新分析显示,这场运动仍在进行中。
“战术和技术非常相似,但现在的基础设施比以前更加强大,可以击败潜在的失败尝试,”Malware字节公司威胁情报总监热罗姆·塞古拉(Jér me Segura)表示。
“现在复制和研究重定向机制和当时一样困难,特别是在新的指纹检查的情况下”来检测虚拟机、某些浏览器扩展和安全工具的存在。
装载WoofLocker的大多数网站都是成人网站,基础设施使用保加利亚和乌克兰的托管服务提供商,这为威胁行为者提供了更强的保护,防止他们被收购。
浏览器储物柜的主要目标是让目标受害者求助于解决(不存在的)计算机问题,并获得对计算机的远程控制,以起草发票,建议受影响的个人支付解决问题的安全解决方案。
“这是由第三方通过欺诈性呼叫中心来处理的,”Segura在2020年指出。“流量重定向和褐变的威胁演员将因每一个成功的引线而得到报酬。”
威胁者的确切身份仍然未知,有证据表明,这项运动的准备工作早在2017年就已经开始。
塞古拉说:“与其他依靠购买广告和与主机供应商和注册商玩疯狂游戏不同的是,WoofLocker是一个非常稳定和低维护的业务。”“承载恶意代码的网站多年来一直受到破坏,而指纹和浏览器储物柜基础设施似乎正在使用可靠的注册和托管提供商。”
与此同时,该公司详细介绍了一种新的恶意感染链,其中包括在搜索引擎上使用虚假广告,引导用户搜索远程访问程序和扫描程序,搜索陷入陷阱的网站,从而部署盗贼恶意软件。
是什么设置导致此运动除了是它的指纹访问者使用WEBGL_debug_renderer_info API来收集受害者的图形驱动程序属性排序从爬虫和虚拟机的真正的浏览器,并将数据外泄到远程服务器,以确定下一步行动的能力。
塞古拉说:“通过在将潜在受害者转移到恶意软件之前使用更好的过滤,威胁行为者可以确保他们的恶意广告和基础设施在网上的时间更长。”“这不仅增加了维权者识别和报告此类事件的难度,还可能对自己人的行为产生影响。”
此前,一项新的研究发现,在过去五年里,隶属于美国政府机构、主要大学和专业组织的网站被劫持,并被用来通过上传到门户网站的“毒PDF”文件来推销诈骗活动。
这些骗局中有许多是针对儿童的,试图欺骗他们下载应用程序、恶意软件或提交个人信息,以换取堡垒之夜和Roblox等在线游戏平台不存在的回报。