Il sofisticato schema di reindirizzazione del traffico, denominato WoofLocker, è stato inizialmente documentato da Malwarebytes nel gennaio 2020. Questo toolkit utilizza JavaScript incorporato in siti web compromessi per eseguire controlli anti-bot e di filtraggio del traffico web, reindirizzando gli utenti verso un “browser locker”.
Meccanismo di reindirizzazione
Il meccanismo di reindirizzazione utilizza tecniche steganografiche per nascondere il codice JavaScript all’interno di un’immagine PNG, che viene mostrata solo quando la fase di validazione ha successo. Se un utente viene rilevato come un bot o come traffico non interessante, viene utilizzato un file PNG di diversivo, privo del codice malevolo. WoofLocker è anche noto come 404Browlock, poiché visitare l’URL del browlock direttamente senza la reindirizzazione appropriata o un token di sessione univoco risulta in una pagina di errore 404.
Analisi recenti
L’analisi più recente della società di cybersecurity mostra che la campagna è ancora in corso. “Le tattiche e le tecniche sono molto simili, ma l’infrastruttura è ora più robusta di prima per sconfiggere potenziali tentativi di chiusura”, ha dichiarato Jérôme Segura, direttore dell’intelligence sulle minacce presso Malwarebytes. La maggior parte dei siti che caricano WoofLocker sono siti per adulti, con un’infrastruttura che utilizza provider di hosting in Bulgaria e Ucraina, offrendo agli attori della minaccia una maggiore protezione contro le chiusure.
Obiettivo principale
L’obiettivo principale dei browser locker è indurre le vittime a chiamare per assistenza per risolvere problemi inesistenti al computer e ottenere il controllo remoto del computer per redigere una fattura che consiglia alle persone colpite di pagare per una soluzione di sicurezza. “Questo viene gestito da terze parti tramite call center fraudolenti”, ha notato Segura nel 2020. “L’attore della minaccia dietro la reindirizzazione del traffico e il browlock viene pagato per ogni lead di successo.”
Identità dell’attore della minaccia
L’identità esatta dell’attore della minaccia rimane sconosciuta e ci sono prove che le preparazioni per la campagna sono iniziate già nel 2017. “A differenza di altre campagne che si basano sull’acquisto di annunci pubblicitari, WoofLocker è un’attività molto stabile e a bassa manutenzione”, ha affermato Segura.
Ulteriori dettagli
La divulgazione arriva mentre la società ha dettagliato una nuova catena di infezione malvertising che coinvolge l’uso di annunci falsi sui motori di ricerca per indirizzare gli utenti verso siti web insidiosi che portano al dispiegamento di malware. Ciò che distingue questa campagna è la sua capacità di identificare i visitatori usando l’API WEBGL_debug_renderer_info per raccogliere le proprietà del driver grafico della vittima.