В мире кибербезопасности возросла тревога из-за совершенствованной версии тулкита под названием WoofLocker. Этот вредоносный инструмент используется злоумышленниками в атаках с поддельной технической поддержкой, целью которых является сбор цифровых отпечатков устройств пользователей и блокировка их браузеров.
WoofLocker впервые привлек внимание аналитиков в 2020 году, когда компания Malwarebytes описала его способность перенаправлять трафик с помощью JavaScript-кода, встроенного в страницы взломанных сайтов. Отмечено, что злоумышленники использовали технику стеганографии для внедрения JavaScript-кода в PNG-изображения.
Новый вариант WoofLocker также проверяет, является ли пользователь ботом, прежде чем подставлять вредоносное изображение. Если обнаруживается бот, используется "чистый" PNG. Такая хитрость привела к появлению еще одного названия для WoofLocker - 404Browlock, так как при прямом переходе по ссылке страница выводила ошибку 404.
Исследования Malwarebytes показали, что кампания по использованию WoofLocker всё еще активна, и хотя методы атак практически не изменились, инфраструктура злоумышленников значительно усовершенствована.
Кампания WoofLocker, в основном, направлена на взрослые веб-сайты. Серверы, поддерживающие вредоносную деятельность, расположены в Болгарии и Украине, что обеспечивает дополнительную защиту от ликвидации.
Для сбора цифровых отпечатков злоумышленники используют API WEBGL_debug_renderer_info, которое позволяет различать реальных пользователей и ботов на основе свойств графических драйверов.
В настоящее время исследователи продолжают исследовать эту угрозу и ищут ответ на вопрос о том, кто стоит за этой кампанией.