Los expertos en ciberseguridad han delineado una versión actualizada de una avanzada herramienta de identificación y redireccionamiento denominada WoofLocker, diseñada con el propósito de llevar a cabo estafas de soporte técnico.
El elaborado esquema de redireccionamiento de tráfico fue inicialmente documentado por Malwarebytes en enero de 2020. Se vale de código JavaScript embebido en sitios web comprometidos para realizar comprobaciones de filtrado de tráfico web y detección de bots, con el fin de proporcionar código JavaScript de la siguiente fase que redirige a los usuarios hacia un bloqueador de navegadores (también conocido como browlock).
Esta estrategia de redirección, a su vez, utiliza artimañas esteganográficas para ocultar el código JavaScript dentro de una imagen en formato PNG que solo se entrega si la fase de validación tiene éxito. Si se identifica a un usuario como un bot o como tráfico no relevante, se utiliza un archivo PNG falso que carece del código malicioso.
WoofLocker es también llamado 404Browlock debido a que intentar acceder directamente a la URL del browlock sin la redirección adecuada o el token de sesión de un solo uso resulta en una página de error 404. El análisis más reciente de la firma de ciberseguridad indica que la campaña aún está en curso.
La mayoría de los sitios que cargan WoofLocker son sitios web dirigidos a un público adulto, y la infraestructura utiliza proveedores de alojamiento en Bulgaria y Ucrania que otorgan a los actores de amenazas una mayor protección contra intentos de eliminación.
El objetivo principal de los bloqueadores de navegadores es persuadir a las víctimas seleccionadas a solicitar asistencia para resolver problemas informáticos (que en realidad no existen) y obtener control remoto sobre la computadora para elaborar una factura que recomienda a las personas afectadas que adquieran una solución de seguridad para abordar el problema.
La identidad precisa del autor de la amenaza sigue siendo un misterio, y existen pruebas de que los preparativos para la campaña comenzaron tan temprano como en 2017.
Esta revelación coincide con la descripción de una nueva cadena de infección por malvertising que implica el uso de anuncios falsos en motores de búsqueda para dirigir a usuarios que buscan programas de acceso remoto y escáneres hacia sitios web trampa que conducen a la instalación de malware ladrón.
Lo que distingue a esta campaña es su capacidad para identificar a los visitantes mediante la API WEBGL_debug_renderer_info para recopilar las propiedades del controlador de gráficos de la víctima y distinguir entre navegadores legítimos, rastreadores y máquinas virtuales, para luego exfiltrar los datos a un servidor remoto con el fin de determinar el siguiente paso.
Este desarrollo también sigue a una nueva investigación que descubrió que sitios web pertenecientes a agencias gubernamentales de los Estados Unidos, destacadas universidades y organizaciones profesionales han sido secuestrados durante los últimos cinco años y se han utilizado para promocionar ofertas y promociones fraudulentas a través de archivos «PDF envenenados» cargados en los portales.
Muchas de estas estafas están dirigidas a niños y pretenden engañarlos para que descarguen aplicaciones, malware o proporcionen datos personales a cambio de recompensas inexistentes en plataformas de juegos en línea como Fortnite y Roblox.