Hubo tiempos en que, No hace mucho tiempo, cuando se explotan kits fueron utilizados ampliamente por los piratas informáticos en diversos tipos de campañas maliciosas. Sin embargo, con la mejora de los navegadores y algunos otros factores centrados en la seguridad, el uso de EKS comenzó a declinar, y algo más se arrastró en su lugar. De hecho, sistemas de distribución del tráfico o TDS han sido un componente crucial de paquetes de exploits.
EKS bien conocidas como pescador y Nuclear normalmente tenían un TDS incluidos dentro, también conocido como puerta o sistema de toma de huellas dactilares. Estos fueron utilizados para filtrar el tráfico de un usuario a la tierra en una página determinada infectarlos con malware.
Tomemos el EK Nuclear, que fue una de las herramientas preferidas de malware-as-a-service en manos de los delincuentes y autores ransomware. EK nuclear se utiliza para difundir Locky ransomware – uno de los virus más prevalentes cripto y devastadores en los últimos años. Sin embargo, actividades nucleares sensibles se produjo un descenso en el final del mes de abril, y de acuerdo a múltiples recursos, el exploit infraestructura del kit se congeló por completo en 2016.
Con eso se dice, los investigadores de seguridad en Proofpoint han seguido de un nuevo sistema de distribución de tráfico apodado BlackTDS que está desplegado en la distribución de varias piezas de malware.
¿Qué es BlackTDS? Descripción técnica
Poco dicho, BlackTDS TDS es una herramienta multifuncional que ha sido la publicidad de sus servicios en los mercados subterráneos desde finales de diciembre 2017, como se ha señalado por el equipo de investigación.
Este sistema de distribución del tráfico ofrece un montón de servicios a las partes interesadas. Estos servicios se denominan nube TDS. De acuerdo con los operadores, el paquete Nube TDS puede manejar la ingeniería social y redirección a EKS, mientras que evadir la detección por los investigadores y cajas de arena. Adicionalmente, BlackTDS También tiene acceso a los dominios frescas limpias con una reputación a través de HTTPS, informaron los investigadores.
Los servicios exactos BlackTDS tiene que ofrecer se presentan en los anuncios foro compartieron a continuación:
Cloacking TDS AntiBot basado en nuestros servidores que no son de abuso $3 por día de trabajo. No necesita su propio servidor para recibir tráfico. API para trabajar con paquetes de explotar y soluciones propias para el procesamiento de tráfico para la obtención de las instalaciones (FakeLandings). soluciones prefabricadas de tráfico web oscura. Colocado en 1 haga clic en código oculto de usar la inyección de js en cualquier aterrizajes, incluyendo en los sitios web hackeados “.
"Costo – $6 por día, $45 por 10 días, $90 por mes, lugar libre en nuestro servidor, alojamiento gratuito de su archivo en https verdes:// dominio. 3 DÍAS DE PRUEBA GRATIS”
* Sistema de Gestión de la nube Antibot tráfico en nuestros servidores que no son de abuso
* API para trabajar con paquetes de acciones y soluciones a medida para el procesamiento de tráfico para la obtención de las instalaciones (Faklendings). La colocación de su archivo en un https verdes: // dominio
* Colocado en 1 haga clic en código oculto de usar la inyección de js en cualquier aterrizajes incluidos en las conchas
Lo que hemos añadido durante las vacaciones:
* Incorporado en los modos de marco flotante (un poco de moral obsoleta, pero pidió – lo hicimos).
* falsa actualización Mirosoft (divide la página).
* Jav falsa actualización y Flash actualización falsa (La página no se rompe, el contenido original es visible).
* subir un archivo desde su cuenta personal en nuestro servidor.
* Configurar retraso de la aparición de ventanas falsa.
* Auto-descarga cuando se hace clic en el área de la ventana.
* Actualización de las bases de datos y negros de Geo 13.01.18.
* aumento rompiendo a través de las descargas de 6%-12% a 10%-30%.
* añadido estadísticas detalladas sobre los usuarios que han descargado el archivo.
* archivo de inicio automático en falsificaciones.
Y esto es sólo en días de fiesta! Seguimos trabajando. Nube TDS a su servicio.
De dónde viene el tráfico utiliza BlackTDS ven de?
Al parecer,, los autores de la amenaza a dirigir el tráfico BlackTDS a través de canales bien conocidos, tales como correo basura y publicidad maliciosa. Luego “configurar el software malicioso o API EK de su elección, y luego permitir que el servicio de manejar todos los demás aspectos de la distribución de malware a través de drive-by".
Los investigadores de seguridad han estado observando BlackTDS cadenas de infección en la naturaleza, la entrega de malware a través de trucos de ingeniería social y las actualizaciones de software falsos. Lo que es digno de mencionar es que a pesar de la identificación de BlackTDS sitios no era tan difícil para los investigadores, asociar el tráfico con actores amenaza conocida era todo un reto difícil o incluso.
El 19 de febrero, 2018, los investigadores de seguridad notaron una campaña de spam en particular, masivamente desplegado, que tenían adjuntos PDF con enlaces a una cadena que involucran BlackTDS. La operación terminó en un sitio web que vende productos farmacéuticos descuento. Este actor amenaza, identificado como TA5O5 estaba extendiendo ransomware y bancarias troyanos en una escala muy masiva.
Por último, muchos investigadores ahora están refiriendo a “paquetes” de servicios maliciosos como “como un servicio”, y la misma regla se aplica a las redes de distribución de tráfico. En el caso de TDS, servicios tales como alojamiento y configuración de los componentes de un sofisticado drive-by operación se incluyen.
Como para BlackTDS en particular, “El bajo costo, facilidad de acceso, y relativamente anonimato de BlackTDS reducir las barreras a la entrada a la distribución de malware basado en la Web”. Por encima de todo, la red viene con soporte completo para la ingeniería social y las opciones para entregar el malware directa o redirigir las víctimas de explotación de las páginas de aterrizaje kit. Como un todo, esta red de distribución de tráfico revela un cierto nivel de avance, a pesar del descenso de paquetes de exploits.
ataques basados en la web no van a ninguna parte, y BlackTDS es la prueba.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: