Pesquisadores de cibersegurança detalharam uma versão atualizada de um kit avançado de identificação digital e redirecionamento chamado WoofLocker, projetado para realizar golpes de suporte técnico.
O esquema sofisticado de redirecionamento de tráfego foi documentado pela primeira vez pela Malwarebytes em janeiro de 2020, usando JavaScript incorporado em sites comprometidos para realizar verificações de filtragem de tráfego web e anti-bot e servir o próximo estágio de JavaScript que redireciona os usuários para um bloqueador de navegador (também conhecido como browlock).
Este mecanismo de redirecionamento, por sua vez, faz uso de truques esteganográficos para ocultar o código JavaScript dentro de uma imagem PNG que é servida apenas quando a fase de validação é bem-sucedida.
Caso um usuário seja detectado como um bot ou tráfego não interessante, um arquivo PNG isca sem o código malicioso é usado.
WoofLocker também é conhecido como 404Browlock devido ao fato de que visitar o URL do browlock diretamente sem o redirecionamento apropriado ou token de sessão única resulta numa página de erro 404.
A análise mais recente da empresa de cibersegurança mostra que a campanha ainda está em andamento.
"As táticas e técnicas são muito semelhantes, mas a infraestrutura agora está mais robusta do que antes para derrotar possíveis tentativas de derrubamento", disse Jérôme Segura, diretor de inteligência de ameaças da Malwarebytes.
"É tão difícil reproduzir e estudar o mecanismo de redirecionamento agora quanto era então, especialmente à luz de novas verificações de identificação digital" para detectar a presença de máquinas virtuais, certas extensões de navegador e ferramentas de segurança.
A maioria dos sites que carregam WoofLocker são sites adultos, com a infraestrutura usando provedores de hospedagem na Bulgária e Ucrânia que dão aos atores de ameaças maior proteção contra desmontes.
O objetivo principal dos bloqueadores de navegador é fazer com que as vítimas alvo peçam assistência para resolver problemas de computador (não existentes) e obtenham controle remoto sobre o computador para elaborar uma fatura que recomenda que os indivíduos afetados paguem por uma solução de segurança para resolver o problema.
"Isso é administrado por terceiros através de centros de atendimento fraudulentos", Segura observou em 2020.
"O ator da ameaça por trás do redirecionamento de tráfego e do browlock será pago por cada sucesso."
A identidade exata do ator de ameaça permanece desconhecida e há evidências de que os preparativos para a campanha foram iniciados já em 2017.
"Diferentemente de outras campanhas que dependem da compra de anúncios e de brincar com provedores de hospedagem e registradores, WoofLocker é um negócio muito estável e de baixa manutenção", disse Segura.
"Os sites que hospedam o código malicioso foram comprometidos por anos enquanto a infraestrutura de identificação digital e bloqueio de navegador parece estar usando registradores e provedores de hospedagem sólidos."
A divulgação ocorre quando a empresa detalhou uma nova cadeia de infecção por malvertising que envolve a utilização de anúncios falsos em motores de busca para direcionar usuários que procuram programas de acesso remoto e scanners para sites armadilhados que levam ao deployment de malware de roubo.
O que distingue essa campanha é sua capacidade de identificar visitantes usando a API WEBGL_debug_renderer_info para coletar as propriedades do driver gráfico da vítima para distinguir navegadores reais de rastreadores e máquinas virtuais e exfiltrar os dados para um servidor remoto a fim de determinar o próximo curso de ação.
"Ao usar uma filtragem melhor antes de redirecionar possíveis vítimas para malware, os atores de ameaças garantem que seus anúncios maliciosos e infraestrutura permaneçam online por mais tempo", disse Segura.
"Não só torna mais difícil para os defensores identificar e relatar tais eventos, como também provavelmente tem um impacto nas ações de remoção."
O desenvolvimento também segue uma nova pesquisa que descobriu que sites pertencentes a agências governamentais dos EUA, universidades líderes e organizações profissionais foram sequestrados nos últimos cinco anos e usados para promover ofertas de golpe e promoções por meio de arquivos "PDF venenosos" carregados nos portais.
Muitos desses golpes visam crianças e tentam enganá-las para que baixem apps, malware ou forneçam detalhes pessoais em troca de recompensas inexistentes em plataformas de jogos online como Fortnite e Roblox.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...