Introducción
Investigadores de ciberseguridad han detallado una versión actualizada de un avanzado kit de herramientas de huellas digitales y redirección llamado WoofLocker, diseñado para llevar a cabo estafas de soporte técnico.
Mecanismo de Redirección Avanzado
El sofisticado esquema de redirección de tráfico fue documentado por primera vez por Malwarebytes en enero de 2020. Este esquema utiliza JavaScript incrustado en sitios web comprometidos para realizar controles de filtrado de tráfico web y anti-bots.
Posteriormente, redirige a los usuarios a un bloqueador de navegador (también conocido como browlock). Este mecanismo de redirección utiliza trucos esteganográficos para ocultar el código JavaScript dentro de una imagen PNG, que solo se muestra cuando la fase de validación es exitosa.
Si un usuario es detectado como un bot o no es considerado tráfico interesante, se utiliza un archivo PNG señuelo sin el código malicioso.
WoofLocker y sus Características
WoofLocker también es conocido como 404Browlock debido a que visitar la URL del browlock directamente sin la redirección adecuada o un token de sesión único resulta en una página de error 404. La última análisis de la firma de ciberseguridad muestra que la campaña sigue en marcha.
«Las tácticas y técnicas son muy similares, pero la infraestructura ahora es más robusta que antes para derrotar posibles intentos de eliminación», dijo Jérôme Segura, director de inteligencia de amenazas en Malwarebytes.
Objetivo Principal de los Bloqueadores de Navegador
El objetivo principal de los bloqueadores de navegador es hacer que las víctimas objetivo llamen en busca de asistencia para resolver problemas informáticos inexistentes y obtener el control remoto del ordenador para redactar una factura que recomiende a las personas afectadas pagar por una solución de seguridad.
«Esto es manejado por terceros a través de centros de llamadas fraudulentos», señaló Segura en 2020. «El actor de amenazas detrás de la redirección de tráfico y browlock recibe un pago por cada lead exitoso».
Identidad del Actor de Amenaza y Modus Operandi
La identidad exacta del actor de amenaza sigue siendo desconocida y hay evidencia de que las preparaciones para la campaña han estado en marcha desde 2017.
A diferencia de otras campañas que dependen de la compra de anuncios y juegan al escondite con proveedores de alojamiento y registradores, WoofLocker es un negocio muy estable y de bajo mantenimiento, según Segura.
Conclusión
El descubrimiento de WoofLocker resalta la necesidad de estar siempre alerta y protegido contra las amenazas cibernéticas. Las técnicas avanzadas utilizadas por los actores de amenazas requieren una vigilancia constante y soluciones de seguridad robustas para proteger a los usuarios y sus datos.
