WoofLocker - это продвинутый набор инструментов для создания отпечатков пальцев и перенаправления, который, судя по всему, был создан для одного клиента. Хотя его можно использовать для любых веб-угроз в качестве основы для уклонения, в течение последних 6 лет он использовался для мошенничества в сфере технической поддержки.
В отличие от других кампаний, основанных на покупке рекламы и игре с хостинг-провайдерами и регистраторами, WoofLocker - очень стабильный и неприхотливый бизнес. Сайты, на которых размещается вредоносный код, были взломаны в течение многих лет, в то время как инфраструктура отпечатков пальцев и браузерных блокировщиков, судя по всему, использует надежных регистраторов и хостинг-провайдеров.
Вредоносный JavaScript, встроенный в скомпрометированные сайты, используется для извлечения фреймворка WoofLocker непосредственно в DOM с одного из нескольких доменных имен. Код, используемый WoofLocker, сильно обфусцирован и использует стеганографию - технику встраивания данных в изображения.
Каждая жертва, зашедшая на скомпрометированный сайт, получает отпечатки пальцев, позволяющие определить, является ли она легитимной или нет. Проводятся многочисленные проверки на наличие виртуальных машин, определенных расширений для браузеров и средств защиты. При этом учитываются только подлинные IP-адреса жилых домов, если они еще не были отпечатаны.
Информация от жертв отправляется обратно на сервер в виде PNG-изображения (данные скрыты внутри благодаря стеганографии), после чего возможны два варианта развития событий. Пользователи, признанные неинтересными, ничего больше не увидят, а потенциальные жертвы будут перенаправлены на другой домен по сгенерированному "на лету" URL-адресу с уникальным идентификатором, действительным только для данной сессии.
В результате перенаправления появляется привычный экран блокировки браузера с фальшивым предупреждением о наличии компьютерных вирусов.
Indicators of Compromise
Domains
- api.cloudcachestels.com
- api.cloudseedzedo.com
- api.imagecloudsedo.com
- appcloudzedo.com
- barustan.com
- beeronas.com
- besoliza.com
- bopiland.com
- cdn.contentob.com
- cdncontentstorage.com
- cdnpictureasset.com
- cloudcusersyn.com
- cloudgertopage.com
- cloudlogobox.com
- csscloudstorage.com
- datacloudasset.com
- defolis.com
- furakelw.com
- gomoyad.com
- gopilofan.com
- lobosixt.com
- logosvault.com
- malubana.com
- miniassetcloud.com
- molesanu.com
- sebasong.com
- semilupa.com
- somalics.com
- somawan.com
- vedopixt.com
- vulidoc.com
- xepilondi.com
- zemolist.com