WoofLocker工具包利用图像中隐藏恶意代码运行技术支持诈骗

网络安全研究人员详细介绍了名为WoofLocker的高级指纹识别和重定向工具包的更新版本，该工具包旨在进行技术支持诈骗。

Malwarebytes 于 2020 年 1 月首次记录了这种复杂的流量重定向方案，该方案利用嵌入在受感染网站中的 JavaScript 来执行反机器人和 Web 流量过滤检查，以服务下一阶段的 JavaScript，将用户重定向到浏览器锁定器（又名 browlock ）。

反过来，这种重定向机制利用隐写技巧将 JavaScript 代码隐藏在仅在验证阶段成功时才提供的 PNG 图像中。如果用户被检测为机器人或不感兴趣的流量，则会传递一个不含恶意代码的诱饵 PNG 文件。

WoofLocker 也称为 404Browlock，因为在没有适当的重定向或一次性会话令牌的情况下直接访问 browlock URL 会导致 404 错误页面。

该网络安全公司的最新分析显示，这些年来该活动仍在继续。

Malwarebytes 威胁情报总监杰罗姆·塞古拉 (Jérôme Segura)表示：“策略和技术非常相似，但基础设施现在比以前更加强大，能够击败潜在的攻击企图。”

“现在重现和研究重定向机制与当时一样困难，特别是考虑到新的指纹检查”来检测虚拟机、某些浏览器扩展和安全工具的存在。

大多数加载 WoofLocker 的网站都是成人网站，其基础设施使用保加利亚和乌克兰的托管提供商，为威胁行为者提供更强大的保护，防止被删除。

浏览器储物柜的主要目标是让目标受害者寻求帮助来解决（不存在的）计算机问题，并获得对计算机的远程控制，以起草一份发票，建议受影响的个人支付安全解决方案的费用来解决问题。

Segura 在 2020 年指出：“这是由第三方通过欺诈性呼叫中心处理的。流量重定向和浏览锁定背后的威胁行为者将因每次成功的线索而获得报酬。”

威胁行为者的确切身份仍然未知，有证据表明该活动的准备工作早在 2017 年就已经开始。

“与其他依赖购买广告并与托管提供商和注册商打地鼠的活动不同，WoofLocker 是一项非常稳定且维护成本低的业务，”Segura 说。“托管恶意代码的网站多年来一直受到损害，而指纹识别和浏览器储物柜基础设施似乎正在使用可靠的注册商和托管提供商。”

此次披露之际，该公司详细介绍了一个新的恶意广告感染链，该感染链涉及在搜索引擎上使用虚假广告，将搜索远程访问程序和扫描仪的用户引导至诱杀网站，从而导致窃取恶意软件的部署。

该活动的独特之处在于它能够使用WEBGL_debug_renderer_info API对访问者进行指纹识别，收集受害者的图形驱动程序属性，将真实浏览器与爬​​虫和虚拟机进行分类，并将数据渗透到远程服务器，以确定下一步行动。

塞古拉说：“通过在将潜在受害者重定向到恶意软件之前使用更好的过滤，威胁行为者可以确保他们的恶意广告和基础设施在线时间更长。” “这不仅使防御者更难识别和报告此类事件，还可能对取缔行动产生影响。”

这一进展还遵循了一项新的研究，该研究发现，属于美国政府机构、顶尖大学和专业组织的网站在过去五年中被劫持，并被用来通过上传到门户的“有毒 PDF”文件来推送诈骗优惠和促销活动。

其中许多诈骗都是针对儿童，并试图诱骗他们下载应用程序、恶意软件或提交个人详细信息，以换取 Fortnite 和 Roblox 等在线游戏平台上不存在的奖励。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/7801.html