Il y avait des moments, il n'y a pas si longtemps, lorsque les kits ont été largement exploit déployés par des pirates dans divers types de campagnes malveillants. Cependant, avec l'amélioration des navigateurs et d'autres facteurs axés sur la sécurité, l'utilisation de EKS a commencé à décliner, et quelque chose d'autre rampé à leur place. En fait, TDS ou les systèmes de distribution de la circulation ont été un élément essentiel de l'exploitation des kits.
EKS bien connus comme pêcheur à la ligne et nucléaire ont généralement un TDS inclus dans, également connu en tant que porte ou d'un système de prise d'empreinte. Ceux-ci ont été utilisés pour filtrer le trafic pour un utilisateur d'atterrir sur une page particulière pour les infecter par des logiciels malveillants.
Prenons l'EK nucléaire, qui était l'un des outils logiciels malveillants as a service privilégié entre les mains des cybercriminels et des auteurs ransomware. EK nucléaire a été utilisé pour diffuser Locky ransomware – l'un des virus les plus répandus et crypto dévastateurs au cours des dernières années. Cependant, Les activités nucléaires ont connu une baisse raisonnable à la fin Avril, et selon plusieurs ressources, l'exploit de l'infrastructure du kit a été complètement gelé en 2016.
Cela étant dit, les chercheurs en sécurité à Proofpoint ont suivi un nouveau système de distribution de trafic baptisé BlackTDS qui est déployé dans la répartition des différents éléments de logiciels malveillants.
Qu'est-ce que BlackTDS? Description technique
Peu dit, BlackTDS est un outil de TDS multi-fonctionnel qui a été la publicité de ses services sur les marchés souterrains depuis la fin de Décembre 2017, comme l'a souligné l'équipe de recherche.
Ce système de distribution de trafic fournit de nombreux services aux parties intéressées. Ces services sont appelés TDS cloud. Selon les opérateurs, le paquet cloud TDS peut gérer l'ingénierie sociale et la redirection vers EKS tout en évitant la détection par des chercheurs et des bacs à sable. En outre, BlackTDS a également accès à des domaines nouveaux dont la réputation est propre via HTTPS, les chercheurs ont rapporté.
Les services exacts BlackTDS a à offrir sont présentés dans les annonces forum partagé ci-dessous:
Cloacking TDs AntiBot basé sur nos serveurs non abus de $3 par jour de travail. Vous n'avez pas besoin de votre propre serveur pour recevoir le trafic. API pour travailler avec les packs et exploiter des solutions propres pour le traitement du trafic pour obtenir des installations (FakeLandings). trafic web sombre solutions toutes prêtes. Placé dans 1 cliquez sur le code caché pour utiliser l'injection dans js sur les débarquements, y compris sur les sites Web piraté « .
"Coût – $6 par jour, $45 par 10 journées, $90 par mois, Gratuité sur notre serveur, hébergement gratuit de votre fichier sur https vert:// domaine. 3 JOURS D'ESSAI GRATUIT »
* Cloud Traffic Antibot système de gestion sur nos serveurs non-violence
* API pour travailler avec des paquets d'actions et des solutions personnalisées pour le traitement du trafic pour obtenir des installations (Faklendings). Placer votre fichier sur un https vert: // domaine
* Placé dans 1 cliquez sur le code caché pour utiliser l'injection dans js sur les débarquements, y compris sur les coquilles
Ce que nous avons ajouté pendant les vacances:
* Intégré Modes Iframe (un peu moralement pas à jour, mais il a demandé – Nous faisions).
* fausse mise à jour Mirosoft (brise la page).
* mise à jour faux Jav et mise à jour faux flash (la page ne rompt pas, le contenu original est visible).
* télécharger un fichier à partir de votre compte personnel à notre serveur.
* Configurer retard pour l'apparence des fenêtres faux.
* Auto-télécharger en cliquant sur la zone de fenêtre.
* Mise à jour des bases de données noir et Geo de 13.01.18.
* augmenté en brisant les téléchargements de 6%-12% à 10%-30%.
* ajouté des statistiques détaillées sur les utilisateurs qui ont téléchargé le fichier.
* fichier de démarrage automatique dans fakes.
Et ce n'est que les jours fériés! Nous continuons à travailler. Cloud TDS à votre service.
D'où vient le trafic BlackTDS Utilisations Venez de?
Apparemment, Les auteurs de la menace générer du trafic vers BlackTDS via des canaux bien connus tels que le spam et les malvertising. Puis ils "mettre en place le logiciel malveillant ou API EK de leur choix, puis permettre au service de traiter tous les autres aspects de la distribution des logiciels malveillants via un lecteur par".
Les chercheurs en sécurité ont observé BlackTDS les chaînes d'infection dans la nature, fournir des logiciels malveillants grâce à des astuces d'ingénierie sociale et des mises à jour de logiciels faux. Ce qui est à noter est que même si l'identification des BlackTDS des sites n'a pas été si difficile pour les chercheurs, associer le trafic avec les acteurs de la menace connue était très difficile, voire difficile.
Le 19 Février, 2018, les chercheurs en sécurité ont remarqué une campagne de spam particulier, massivement déployé, qui avait des pièces jointes PDF avec des liens vers une chaîne impliquant BlackTDS. L'opération a pris fin sur un site de vente de produits pharmaceutiques à prix bon marché. Cet acteur de menace, identifiés comme TA5O5 se répandait de chevaux de Troie bancaires ransomware et à une échelle très massive.
Enfin, de nombreux chercheurs se réfère maintenant à « empaquetés » des services malveillants comme « en tant que service », et la règle applicable aux réseaux de distribution de trafic. Dans le cas de TDS, des services tels que l'hébergement et la configuration des composants d'un entraînement par une opération sophistiquée sont inclus.
Pour ce qui est de BlackTDS en particulier, « Le faible coût, facilité d'accés, et relativement anonymat BlackTDS réduire les obstacles à l'entrée à la distribution de logiciels malveillants sur le Web ». En plus de tout cela, le réseau est livré avec un support complet pour l'ingénierie sociale et les options pour fournir des logiciels malveillants directement ou rediriger les victimes à exploiter les pages d'atterrissage kit. Dans son ensemble, ce réseau de distribution de trafic révèle un certain niveau d'avancement, malgré le déclin de l'exploitation des kits.
les attaques basées sur le Web ne vont nulle part, et BlackTDS est la preuve.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: