WOOFLOCKER TOOLKIT MENYEMBUNYIKAN KODE BERBAHAYA PADA GAMBAR UNTUK MENJALANKAN SUPPORT TECH SCAM

Peneliti keamanan siber telah merinci versi terbaru dari fingerprinting dan redirection toolkit canggih yang disebut WoofLocker. Toolkit ini dirancang untuk melakukan tech support scams. Skema pengalihan traffic ini pertama kali didokumentasikan oleh Malwarebytes pada Januari 2020. Malwarebytes memanfaatkan JavaScript yang disematkan di situs web yang disusupi untuk memeriksa anti-bot dan pemfilteran lalu lintas web pada layanan JavaScript tahap berikutnya yang ternyata mengarahkan pengguna ke loker browser (alias browlock).

Mekanisme pengelabuan ini, memanfaatkan trik steganografi untuk menyembunyikan kode JavaScript di dalam gambar PNG yang hanya disajikan saat fase validasi berhasil. Jika pengguna terdeteksi sebagai bot atau traffic tidak menarik, umpan file PNG tanpa kode berbahaya akan digunakan.

WoofLocker juga dikenal sebagai 404Browlock karena terdapat fakta bahwa jika mengunjungi URL browlock secara langsung tanpa pengalihan atau one-time session token yang sesuai , maka akan menghasilkan halaman kesalahan 404.

Analisis terbaru perusahaan keamanan siber menunjukkan bahwa serangan ini masih berlangsung. “Taktik dan tekniknya sangat mirip, tetapi infrastrukturnya sekarang lebih kuat dari sebelumnya untuk mengalahkan potensi upaya takedown”, kata Jérôme Segura, direktur threat intelligence di Malwarebytes .

Sebagian besar situs yang memuat WoofLocker adalah situs web dewasa, dengan infrastruktur yang menggunakan provider hosting di Bulgaria dan Ukraina guna memberikan perlindungan yang lebih kuat kepada peretas terhadap aksi takedown.

Tujuan utama loker browser adalah membuat korban yang ditargetkan meminta bantuan untuk menyelesaikan masalah komputer (yang sebenarnya tidak ada) dan mendapatkan kendali jarak jauh atas komputer dengan merekomendasi korban agar membayar solusi keamanan untuk mengatasi masalah tersebut.

Identitas pasti dari pelaku ancaman masih belum diketahui dan ada bukti bahwa persiapan untuk serangan tersebut telah dilakukan sejak tahun 2017.

“Tidak seperti kampanye lain yang mengandalkan pembelian iklan dan bermain-main dengan penyedia hosting dan pendaftar, WoofLocker adalah bisnis pemeliharaan yang sangat stabil dan rendah,” kata Segura. “Situs web yang menghosting kode berbahaya telah dikompromikan selama bertahun-tahun sementara infrastruktur pengunci sidik jari dan browser tampaknya menggunakan registrar dan penyedia hosting yang solid.”

Apa yang membedakan serangan ini dengan sebelumnya adalah kemampuannya untuk mengambil signature pengunjung menggunakan API WEBGL_debug_renderer_info. Dengan begitu peretas dapat mengumpulkan graphics driver properties korban untuk mengurutkan real browsers dari crawlers dan virtual machines, kemudian mengekstrak data ke server jarak jauh untuk menentukan tindakan selanjutnya. Dengan menggunakan pemfilteran yang lebih baik sebelum mengalihkan calon korban ke malware, peretas memastikan bahwa iklan dan infrastruktur jahat mereka tetap online lebih lama.

Perkembangan ini juga mengikuti penelitian baru yang menemukan bahwa situs web milik lembaga pemerintah AS, universitas terkemuka, dan organisasi profesional telah dibajak selama lima tahun terakhir dan digunakan sebagai penawaran penipuan dan promosi melalui file “poison PDF” yang diunggah pada portal.

Banyak juga dari penipuan ini ditujukan untuk anak-anak dengan mencoba mengelabui mereka agar mengunduh aplikasi, malware, atau mengirimkan detail pribadi dengan imbalan hadiah yang tidak ada di platform game online seperti Fortnite dan Roblox.

Source: https://thehackernews.com/2023/08/wooflocker-toolkit-hides-malicious.html