WoofLocker toolkit
A Malwarebytes kutatói egy olyan támadási módszert vizsgáltak, amely már 2017 óta szedi az áldozatait sikeresen. A WoofLocker technikai támogatási átverési kampány, amely messze a valaha látott legösszetettebb forgalom-átirányítási sémát alkalmazza. A taktikák és a technikák nagyon hasonlóak, de az infrastruktúra most robusztusabb, mint kezdetben.
Ellentétben más technikai támogatási átverési kampányokkal, amelyek gyakran a rosszindulatú hirdetésekre támaszkodnak, mint közvetítő vektorral, a Malwarebytes kutatói figyelték meg, hogy a WoofLocker korlátozott számú feltört weboldalon keresztül terjeszthető. Az üzemeltetők két kategóriába sorolják a tartalmakat: nem felnőtt forgalomhoz és felnőtt forgalomhoz. Ez a megkülönböztetés látható az egyes áldozatok számára létrehozott egyedi átirányítási URL-ben, a “nad” és az “ad” paraméterrel.
A feltört webhelyekbe ágyazott rosszindulatú JavaScript segítségével a WoofLocker keretrendszer közvetlenül a DOM-ba kerül lekérésre a néhány tartománynév egyikéből. A WoofLocker által használt kód erős szteganográfiát használ, egy olyan technikát, amely adatokat ágyaz be a képekbe.
Minden áldozattól, aki felkeresi a feltört weboldalt, ujjlenyomatot vesznek, hogy megállapítsák, honnan érkezett a felhasználó és milyen eszközt használ. Számos ellenőrzést végeznek a virtuális gépek, bizonyos böngészőbővítmények és biztonsági eszközök jelenlétének észlelésére. A rendszer csak a valódi lakossági IP-címeket veszi figyelembe, feltéve, hogy még nem vettek ujjlenyomatot belőlük.
Az áldozatoktól származó információkat PNG-képként küldik vissza a szerverre (az adatok a szteganográfiának köszönhetően el vannak rejtve), és két lehetséges kimenetel követi. A nem érdekesnek ítélt felhasználók nem látnak tovább semmit, míg a potenciális áldozatokat egy menet közben generált URL-en keresztül egy másik domainre irányítják át, egyedi azonosítóval, amely csak erre a munkamenetre érvényes. Ez az átirányítás az ismerős böngésző képernyőjét jeleníti meg a számítógépes vírusokkal kapcsolatos hamis figyelmeztetéssel. A kódnak ez a része viszonylag egyszerű, és a meglévő sablonok ihlették.
A Malwarebytes kutatói korábban részletesen ismertették az ujjlenyomat-vételi mechanizmust, és nagyon hasonló marad. Volt azonban néhány kiegészítés, például bizonyos Chrome-bővítmények (GeoEdge, Kaspersky, McAfee) ellenőrzése.
A kutatók megosztották az azonosításhoz szükséges mutatókat is.