Crește numărul de atacuri cu malware Prometheus TDS Mai multe grupuri cibernetice folosesc o soluție malware-as-a-a-service (MaaS) pentru a distribui o gamă largă de campanii de distribuire a software-ului rău intenționat care au ca rezultat implementarea unor sarcini utile precum Campo Loader, Hancitor, IcedID, QBot, Buer Loader și SocGholish împotriva persoanelor din Belgia, precum și a agențiilor guvernamentale, a companiilor și a corporațiilor din SUA

Supranumit „Prometheus”, disponibil spre vânzare pe platforme subterane pentru 250 USD pe lună din august 2020, serviciul este un sistem de direcție a traficului (TDS), care este conceput pentru a distribui documente Word și Excel legate de malware pentru a redirecționa utilizatorii către phishing și site-uri rău intenționate, potrivit unui raport al Grupului IB trimis The Hacker News.

Se spune că peste 3.000 de adrese de e-mail au fost selectate prin campanii rău intenționate în care Prometheus TDS a fost folosit pentru a trimite e-mailuri rău intenționate, cu servicii bancare și financiare, comerțul cu amănuntul, energie și minerit, securitate cibernetică, asistență medicală, IT și asigurări emergente pe verticalele proeminente vizate prin atacuri.

„Prometheus TDS este un serviciu subteran care distribuie fișiere rău intenționate și redirecționează vizitatorii către phishing și site-uri rău intenționate”, au spus cercetătorii Group-IB. „Acest serviciu este alcătuit din panoul administrativ Prometheus TDS, în care un atacator configurează parametrii necesari pentru o campanie rău intenționată: descărcarea fișierelor rău intenționate și configurarea restricțiilor privind geolocația utilizatorilor, versiunea browser-ului și sistemul de operare.”

Serviciul este cunoscut că folosește site-uri web infectate de terțe părți, care sunt adăugate manual de operatorii campaniei și acționează ca intermediar între panoul administrativ al atacatorului și utilizator. Pentru a realiza acest lucru, un fișier PHP numit „Prometheus.Backdoor” este încărcat pe site-ul compromis pentru a colecta și trimite înapoi date despre victimă, pe baza căreia se ia o decizie dacă să trimită sarcina utilă utilizatorului și/sau către redirecționați-le către adresa URL specificată.

Schema de atac începe cu un e-mail care conține un fișier HTML, un link către un shell web care redirecționează utilizatorii către o adresă URL specificată sau un link către un document Google care este încorporat cu o adresă URL care redirecționează utilizatorii către link-ul rău intenționat care atunci când este deschis sau faceți clic pe destinatar către site-ul web infectat, care colectează pe ascuns informații de bază (adresa IP, User-Agent, antetul referentului, fusul orar și datele de limbă) și apoi transmite aceste date către panoul de administrare Prometheus.

În faza finală, panoul administrativ își asumă responsabilitatea pentru trimiterea unei comenzi pentru a redirecționa utilizatorul către o anumită adresă URL sau pentru a trimite un document Microsoft Word sau Excel cu malware, cu utilizatorul redirecționat către un site legitim precum DocuSign sau USPS imediat după descărcarea fișierului pentru a masca activitatea rău intenționată. Pe lângă distribuirea fișierelor dăunătoare, cercetătorii au descoperit că Prometheus TDS este folosit și ca un TDS clasic pentru a redirecționa utilizatorii către site-uri specifice, cum ar fi site-uri web VPN false, portaluri dubioase care vând Viagra și Cialis și site-uri bancare de phishing.

Prometheus TDS a redirecționat, de asemenea, utilizatorii către site-uri care vând produse farmaceutice”, au menționat cercetătorii. „Operatorii unor astfel de site-uri au adesea programe de afiliere și de parteneriat. Partenerii, la rândul lor, recurg adesea la campanii SPAM agresive pentru a crește veniturile din cadrul programului de afiliere. Analiza infrastructurii Prometheus de către specialiștii Group-IB a dezvăluit legături care redirecționează utilizatorii către site-uri referitoare la o companie farmaceutică canadiană.

Pentru a evita asemenea atacuri este necesar de înțeles care sunt măsurile pe care trebuie de luat, uneltele necesare, si abilitățile fără care nu este posibil de a oferi securitatea dorita. Echipa CSISC intervine cu soluția optimala, precum utilizarea soluțiilor antivirus Bitdefender care avertizează si interzice documentele si aplicațiile infectate sau rău intenționate. Cea mai profesionala fiind versiunea Bitdefender GravityZone Ultra, datorita LOCAL AND CLOUD MACHINE LEARNING, AUTOMATIC DISINFECTION & REMOVAL, NETWORK ATTACK DEFENSE, și FILELESS ATTACK DEFENSE. Aceasta soluție este atât de eficienta prin neutralizarea si remedierea riscului chiar de la prima etapa a atacului.