- 9,571
- 18
- 8 Ноя 2022
Зачем специалисты решают несуществующие проблемы на компьютере жертвы?
Исследователи кибербезопасности обнаружили обновленную версию инструмента для отслеживания и перенаправления интернет-трафика пользователей под названием WoofLocker. Согласно Для просмотра ссылки Войдиили Зарегистрируйся Malwarebytes, инструмент активно используется для проведения мошенничества с технической поддержкой.
Первоначально WoofLocker был замечен исследователями Для просмотра ссылки Войдиили Зарегистрируйся . Инструмент использует JavaScript , встроенный в скомпрометированные сайты (в основном, сайты для взрослых), для фильтрации интернет-трафика и проверки наличия ботов. После проверки на устройстве пользователя активируется блокировка браузера ( Browlock ).
Схема перенаправления WoofLocker
Код JavaScript скрыт внутри PNG-изображения на сайте ( стеганография ) и активируется только после успешной проверки. Если пользователь определяется как бот или «незначимый» трафик, используется файл-приманка PNG без вредоносного кода.
WoofLocker также известен как 404Browlock из-за того, что посещение URL-адреса browlock напрямую без соответствующего перенаправления или одноразового токена сеанса приводит к странице с ошибкой 404.
Основная цель использования блокировщиков браузера (Browlock) — заставить жертву обратиться за помощью в решении (несуществующих) проблем с компьютером и предоставить злоумышленнику удаленный контроль над компьютером. После решения выдуманных проблем пользователю рекомендуется заплатить за работу «специалиста» службы поддержки.
Кампания также примечательна тем, что она позволяет снимать отпечатки пальцев (fingerprinting) с помощью Для просмотра ссылки Войдиили Зарегистрируйся для сбора свойств графического драйвера жертвы, сортировки реальных браузеров от поисковых роботов и виртуальных машин, и эксфильтрации данных на удаленный сервер, чтобы определить следующий курс действий.
Личность субъекта угрозы до сих пор не установлена, но есть доказательства подготовки к кампании с 2017 года. WoofLocker отличается стабильностью и низкими затратами на обслуживание, и использует надежные регистраторы и хостинг-провайдеры.
Исследователи кибербезопасности обнаружили обновленную версию инструмента для отслеживания и перенаправления интернет-трафика пользователей под названием WoofLocker. Согласно Для просмотра ссылки Войди
Первоначально WoofLocker был замечен исследователями Для просмотра ссылки Войди
Схема перенаправления WoofLocker
Код JavaScript скрыт внутри PNG-изображения на сайте ( стеганография ) и активируется только после успешной проверки. Если пользователь определяется как бот или «незначимый» трафик, используется файл-приманка PNG без вредоносного кода.
WoofLocker также известен как 404Browlock из-за того, что посещение URL-адреса browlock напрямую без соответствующего перенаправления или одноразового токена сеанса приводит к странице с ошибкой 404.
Основная цель использования блокировщиков браузера (Browlock) — заставить жертву обратиться за помощью в решении (несуществующих) проблем с компьютером и предоставить злоумышленнику удаленный контроль над компьютером. После решения выдуманных проблем пользователю рекомендуется заплатить за работу «специалиста» службы поддержки.
Кампания также примечательна тем, что она позволяет снимать отпечатки пальцев (fingerprinting) с помощью Для просмотра ссылки Войди
Личность субъекта угрозы до сих пор не установлена, но есть доказательства подготовки к кампании с 2017 года. WoofLocker отличается стабильностью и низкими затратами на обслуживание, и использует надежные регистраторы и хостинг-провайдеры.
- Источник новости
- www.securitylab.ru
