Los investigadores de seguridad cibernética han detallado una versión actualizada de un kit de herramientas avanzado de huellas dactilares y redirección llamado WoofLocker que está diseñado para realizar estafas de soporte técnico.
El sofisticado esquema de redirección de tráfico fue documentado por primera vez por Malwarebytes en enero de 2020, aprovechando JavaScript incrustado en sitios web comprometidos para realizar comprobaciones de filtrado de tráfico web y anti-bot para servir JavaScript de próxima etapa que redirige a los usuarios a un casillero del navegador (también conocido como browlock).
Este mecanismo de redirección, a su vez, hace uso de trucos esteganográficos para ocultar el código JavaScript dentro de una imagen PNG que se sirve solo cuando la fase de validación es exitosa. En caso de que un usuario sea detectado como un bot o tráfico no interesante, se utiliza un archivo PNG de señuelo sin el código malicioso.
WoofLocker también se conoce como 404Browlock debido al hecho de que visitar la URL de browlock directamente sin la redirección adecuada o el token de sesión única da como resultado una página de error 404.
El último análisis de la firma de ciberseguridad muestra que la campaña sigue en curso.
«Las tácticas y técnicas son muy similares, pero la infraestructura ahora es más robusta que antes para derrotar posibles intentos de eliminación», Jérôme Segura, director de inteligencia de amenazas de Malwarebytes, dicho.
«Es tan difícil reproducir y estudiar el mecanismo de redirección ahora como lo era entonces, especialmente a la luz de los nuevos controles de huellas dactilares» para detectar la presencia de máquinas virtuales, ciertas extensiones de navegador y herramientas de seguridad.
La mayoría de los sitios que cargan WoofLocker son sitios web para adultos, con la infraestructura que utiliza proveedores de alojamiento en Bulgaria y Ucrania que brindan a los actores de amenazas una mayor protección contra los derribos.
El objetivo principal de los casilleros del navegador es lograr que las víctimas específicas soliciten asistencia para resolver problemas informáticos (inexistentes) y obtener el control remoto de la computadora para redactar una factura que recomiende a las personas afectadas que paguen por una solución de seguridad para abordar el problema.
«Esto es manejado por terceros a través de centros de llamadas fraudulentos», señaló Segura en 2020. «El actor de amenazas detrás de la redirección del tráfico y el bloqueo de cejas recibirá un pago por cada cliente potencial exitoso».
Se desconoce la identidad exacta del autor de la amenaza y hay evidencia de que los preparativos para la campaña ya comenzaron en 2017.
«A diferencia de otras campañas que se basan en la compra de anuncios y en jugar al whack-a-mole con los proveedores de hosting y los registradores, WoofLocker es un negocio muy estable y de bajo mantenimiento», dijo Segura. «Los sitios web que alojan el código malicioso se han visto comprometidos durante años, mientras que la infraestructura de registro de huellas dactilares y bloqueo del navegador parece estar utilizando proveedores sólidos de registro y alojamiento».
La revelación se produce cuando la compañía detalló una nueva cadena de infección de publicidad maliciosa que implica el uso de anuncios falsos en los motores de búsqueda para dirigir a los usuarios que buscan programas de acceso remoto y escáneres a sitios web con trampas explosivas que conducen al despliegue de malware ladrón.
Lo que distingue a esta campaña es su capacidad para tomar las huellas dactilares de los visitantes mediante el API WEBGL_debug_renderer_info para recopilar las propiedades del controlador de gráficos de la víctima para clasificar los navegadores reales de los rastreadores y las máquinas virtuales y filtrar los datos a un servidor remoto para determinar el siguiente curso de acción.
«Al usar un mejor filtrado antes de redirigir a las víctimas potenciales al malware, los actores de amenazas se aseguran de que sus anuncios e infraestructura maliciosos permanezcan en línea por más tiempo», Segura. dicho. «No solo hace que sea más difícil para los defensores identificar e informar tales eventos, sino que probablemente también tenga un impacto en las acciones de derribo».
El desarrollo también sigue a una nueva investigación que encontró que los sitios web pertenecientes a agencias gubernamentales de EE. UU., universidades líderes y organizaciones profesionales han sido secuestrados en los últimos cinco años y utilizados para impulsar ofertas y promociones fraudulentas a través de archivos «PDF envenenados» cargados en los portales.
Muchas de estas estafas están dirigidas a niños e intentan engañarlos para que descarguen aplicaciones, malware o envíen datos personales a cambio de recompensas inexistentes en plataformas de juegos en línea como Fortnite y Roblox.