Bu teknik destek dolandırıcılığı, şimdiye kadar gördüğümüz en uzun soluklu ve gizli dolandırıcılıklardan biridir.
Ocak 2020’de, şimdiye kadar gördüğümüz en karmaşık trafik yeniden yönlendirme şemasını kullanan WoofLocker adlı bir teknik destek dolandırıcılığı kampanyası hakkında bir blog yazmıştık. Aslında tehdit aktörü, yayınımızdan yaklaşık 3 yıl önce, 2017 gibi erken bir tarihte altyapıyı ciddi şekilde dağıtmaya başlamıştı.
2023’e gelelim, aradan 3 yıl daha geçti ve bu kampanya hiçbir şey olmamış gibi devam ediyor. Taktikler ve teknikler çok benzer, ancak potansiyel alt etme girişimlerini yenmek için altyapı artık eskisinden daha sağlam. Bu değişiklik, bu işlemi yalnızca geçici olarak devre dışı bırakan web barındırma şirketleri ve kayıt şirketleri ile yaptığımız çalışmalara yanıt olarak yapılmış olabilir.
Yeniden yönlendirme mekanizmasını yeniden oluşturmak ve incelemek, özellikle yeni parmak izi kontrollerinin ışığında, o zamanlar olduğu kadar zor. Önceki uzlaşma göstergelerini birleştirerek, WoofLocker’ın ilk yinelemesi ve yeni kurulumu hakkındaki bilgimizi genişletebildik.
Bu planın arkasında kimin olduğu hakkında hâlâ pek bir şey bilmesek de, bunun kendi uzmanlık alanlarında uzmanlaşmış farklı tehdit aktörlerinin işi olabileceğine inanıyoruz. WoofLocker, gelişmiş web trafiği filtreleme için özel olarak oluşturulmuş ve yalnızca bir müşteri tarafından kullanılan profesyonel bir araç seti olabilir. Dolandırıcılığa kanan ve telefon numarasını arayan mağdurlar daha sonra muhtemelen Güney Asya ülkelerindeki çağrı merkezlerine yönlendiriliyor.
Bu blog gönderisi, en son bulgularımızı özetlemekte ve güvenlik topluluğuna yardımcı olabilecek risk göstergeleri sunmaktadır.
genel bakış
Genellikle bir dağıtım vektörü olarak kötü amaçlı reklamcılığa dayanan diğer teknik destek dolandırıcılık kampanyalarının aksine, WoofLocker’ın yalnızca sınırlı sayıda güvenliği ihlal edilmiş web siteleri aracılığıyla dağıtıldığını gözlemledik. Tehdit aktörü iki kategoriye erişim sağlamış görünüyor: yetişkin olmayan trafik ve yetişkin trafiği. Bu ayrım, sırasıyla “nad” ve “ad” adlı bir parametreyle her kurban için oluşturulan benzersiz yeniden yönlendirme URL’sinde görülebilir.
Güvenliği ihlal edilmiş web sitelerine gömülü kötü amaçlı JavaScript, WoofLocker çerçevesini bir avuç alan adından birinden doğrudan DOM’ye almak için kullanılır. WoofLocker tarafından kullanılan kod oldukça karmaşıktır ve verileri görüntülerin içine yerleştiren bir teknik olan steganografiden yararlanır.
Güvenliği ihlal edilmiş siteyi ziyaret eden her kurbanın, meşru olup olmadıklarını belirlemek için parmak izi alınır. Sanal makinelerin, belirli tarayıcı uzantılarının ve güvenlik araçlarının varlığını tespit etmek için çok sayıda kontrol yapılır. Henüz parmak izi alınmamış olmaları koşuluyla, yalnızca gerçek konut IP adresleri dikkate alınır.
Şekil 1: WoofLocker sürüm 2 diyagramı
Kurbanlardan gelen bilgiler bir PNG görüntüsü olarak sunucuya geri gönderilir (steganografi sayesinde veriler içeride gizlenir) ve ardından iki olası sonuç gelir. İlginç görülmeyen kullanıcılar daha fazla bir şey görmezken, potansiyel kurbanlar anında oluşturulan bir URL aracılığıyla yalnızca bu belirli oturum için geçerli olan benzersiz bir kimlikle başka bir alana yönlendirilir.
Bu yeniden yönlendirme, bilgisayar virüsleri hakkında sahte bir uyarı içeren tanıdık tarayıcı kilit ekranını gösterir. Kodun bu kısmı nispeten basittir ve mevcut şablonlardan ilham almıştır.
Güvenliği ihlal edilmiş siteler
Daha önce de belirtildiği gibi, tehdit aktörü iki farklı trafik türü kullanıyor: yetişkin ve yetişkin olmayan. WoofLocker yükleyen web sitelerinin çoğu yetişkinlere yönelik sitelerdir ve dolandırıcılığın sosyal mühendislik taktiklerine etki ettiği için bu bir tesadüf değildir.
Başlangıçta, enjekte edilen kod gizlenmemişti ve parmak izi kontrollerini içeriyordu, ancak 2021’de tehdit aktörleri kodu basitçe enjeksiyon yapmak ve mantığın bir kısmını dışarıya taşımak için değiştirdiler:
Şekil 2: Güvenliği ihlal edilmiş sitelere enjekte edilen kod (karşılaştırma)
Aşağıdaki resimde, DOM’a dinamik olarak eklenen kötü amaçlı kodu görmek için Chrome’un Geliştirici Araçlarını kullanıyoruz. Doğrudan ham HTML sayfasına giden bir web sitesi yöneticisi olarak, eklenen herhangi bir şey göremeyebilirsiniz.
Şekil 3: Geliştirici araçlarında görüntülenen kod
Bu kod, tehdit aktörünün, bu durumda cdncontentstorage konumunda bulunan parmak izi alma ve yeniden yönlendirme altyapısına bağlanmasına izin verir.[.]com.
parmak izi
Parmak izi mekanizmasını daha önce ayrıntılı olarak açıklamıştık ve hala çok benzer. Yine de, belirli Chrome uzantılarının kontrolü (GeoEdge, Kaspersky, McAfee) gibi birkaç ekleme vardı. Ayrıca, bir tür vekil algılama veya Fiddler gibi web hata ayıklama araçlarına özgü algılama da var gibi görünüyor. Bu, güvenlik araştırmacılarının görevi kötüye kullanmanın kanıtı olarak trafik yakalamasını çok daha zorlaştırır.
Şekil 4: Chrome uzantı kontrolleri
URL yönlendirmesi
Çok sayıda yeniden oynatma ve hata ayıklama denemesinden sonra bu kez yeniden yönlendirme URL’sini tespit edebildik:
Şekil 5: Tarayıcı dolabı URL’si PNG görüntüsünde gizli olarak gönderilir
Yine, tehdit aktörü bir görüntünün içine JavaScript kodunu dahil etmek için steganografi kullanır. Tarayıcı bu yanıtı getImageData işlevi aracılığıyla okur ve yürütür. Burada, bu oturuma (uid) özgü olan ve tarayıcı soyunma sayfasına yönlendirme için kullanılan URL’yi görebiliriz.
Web trafiği
WoofLocker’ın kaçınma tekniklerine rağmen tam bir trafik yakalaması kaydetmeyi başardık. Daha önce belirtildiği gibi, proxy trafiğini içeren bazı araçların algılanabileceği görülmektedir. Bu trafiği tespit edilmeden almak için farklı bir mekanizma kullanmak zorunda kaldık.
Sırasıyla steganografi kullanılarak parmak izi kontrollerinin yapıldığını görüyoruz. Tehdit aktörünün aradığı belirli Chrome uzantılarının olmaması da bir miktar trafik oluşturur. Son bölüm, kullanıcı verilerinin doğrulanması ve benzersiz bir kimliğin (uid) oluşturulmasıdır. Kod, tarayıcı soyunma sayfasına karşılık gelen kötü amaçlı URL’yi yüklemek için bir kez daha steganografi kullanır.
Şekil 6: Parmak izi alma ve yeniden yönlendirme mekanizmalarını gösteren trafik yakalama
Altyapı karşılaştırması
Orijinal blog gönderimizden bu yana, WoofLocker altyapısının ek bölümlerini tespit edebildik. En ilginç olanı, tehdit aktörlerinin bunu nasıl tamamen değiştirdiği ve yayından kaldırmalara karşı kendilerine daha güçlü koruma sağlayan barındırma sağlayıcıları ile gittiğidir.
Şekil 7: WoofLocker sürüm 1
ASN’ler Bulgaristan ve Ukrayna’da bulunmaktadır:
Şekil 8: WoofLocker sürüm 2
Çözüm
WoofLocker, tek bir müşteri için oluşturulmuş gibi görünen gelişmiş bir parmak izi alma ve yeniden yönlendirme araç takımıdır. Kaçınma çerçevesi olarak herhangi bir web tehdidi için kullanılabilirken, son 6 yıldır teknik destek dolandırıcılığını zorluyor.
Reklam satın almaya ve barındırma sağlayıcıları ve kayıt şirketleri ile köstebeği patlatmaya dayanan diğer kampanyaların aksine, WoofLocker çok istikrarlı ve az bakım gerektiren bir iştir. Kötü amaçlı kodu barındıran web sitelerinin güvenliği yıllardır açıkken, parmak izi alma ve tarayıcı dolabı altyapısı sağlam kayıt şirketi ve barındırma sağlayıcıları kullanıyor gibi görünüyor.
Malwarebytes kullanıcıları, buluşsal algılama motorumuz sayesinde her zaman bu tehdide karşı korunmuştur.
Uzlaşma Göstergeleri
Parmak izi ve yönlendirme altyapısı:
api[.]cloudcachestels[.]com
api[.]cloudseedzedo[.]com
api[.]imagecloudsedo[.]com
appcloudzedo[.]com
cdn[.]contentob[.]com
cdncontentstorage[.]com
cdnpictureasset[.]com
cloudcusersyn[.]com
cloudgertopage[.]com
cloudlogobox[.]com
csscloudstorage[.]com
datacloudasset[.]com
logosvault[.]com
miniassetcloud[.]com
Son tarayıcı soyunma alanları:
furakelw[.]com
gopilofan[.]com
zemolist[.]com
besoliza[.]com
vedopixt[.]com
defolis[.]com
somawan[.]com
vulidoc[.]com
barustan[.]com
semilupa[.]com
bopiland[.]com
somalics[.]com
sebasong[.]com
molesanu[.]com
xepilondi[.]com
malubana[.]com
beeronas[.]com
lobosixt[.]com
gomoyad[.]com