Ci sono stati momenti, non troppo tempo fa, quando exploit kit sono stati ampiamente utilizzate dagli hacker in vari tipi di campagne maligni. Tuttavia, con il miglioramento dei browser e di alcuni altri fattori di sicurezza incentrato, l'uso di EKS ha cominciato a diminuire, e qualcos'altro strisciò al loro posto. Infatti, sistemi TDS o di distribuzione del traffico sono stati una componente fondamentale di exploit kit.
EKS Ben noti come pescatore e nucleare in genere avevano una TDS incluso all'interno, conosciuto anche come cancello o sistema fingerprinting. Questi sono stati utilizzati per filtrare il traffico per un utente di atterrare su una pagina particolare di infettare loro con il malware.
Prendiamo il EK nucleare, che è stato uno degli strumenti di malware-as-a-service favorito nelle mani di criminali informatici e autori ransomware. EK nucleare è stato utilizzato per diffondere Locky ransomware – uno dei virus di crittografia più diffusi e devastanti negli ultimi anni. Tuttavia, Attività nucleari visto una diminuzione sensibile alla fine del mese di aprile, e in base a più risorse, l'exploit infrastrutture del kit è stato completamente congelato in 2016.
Con questo detto, ricercatori di sicurezza a Proofpoint hanno seguito un nuovo sistema di distribuzione del traffico doppiato BlackTDS che viene distribuito nella distribuzione di vari elementi di malware.
Che cosa è BlackTDS? Descrizione tecnica
Poco detto, BlackTDS è uno strumento di TDS multifunzionale che è stata la pubblicità i propri servizi sui mercati sotterranei dalla fine del mese di dicembre 2017, come sottolineato dal gruppo di ricerca.
Questo sistema di distribuzione del traffico fornisce un sacco di servizi alle parti interessate. Questi servizi sono indicati come cloud TDS. Secondo gli operatori, il pacchetto cloud TDS in grado di gestire l'ingegneria sociale e il reindirizzamento a EKS mentre eludere il rilevamento da parte dei ricercatori e sandbox. In aggiunta, BlackTDS ha anche accesso ai domini fresche con una reputazione pulita tramite HTTPS, i ricercatori hanno segnalato.
I servizi esatte BlackTDS ha da offrire sono presentati nella pubblicità forum condiviso di seguito:
Cloacking TDS AntiBot basato sui nostri server non-abuso di $3 per ogni giorno di lavoro. Non hai bisogno di un proprio server per ricevere il traffico. API per lavorare con exploit pack e soluzioni proprie per la lavorazione traffico per ottenere impianti (FakeLandings). soluzioni già pronte traffico Scuro web. Collocato 1 clicca codice nascosto per utilizzare l'iniezione in js su eventuali atterraggi, anche per quanto riguarda i siti web violati.”
"Costo – $6 al giorno, $45 per 10 giorni, $90 al mese, posto libero sul nostro server, hosting gratuito di file su https verdi:// dominio. 3 GIORNI DI PROVA GRATUITA”
* Sistema di gestione cloud Antibot traffico sui nostri server non-abuso
* API per lavorare con fasci di azioni e soluzioni personalizzate per la lavorazione del traffico per l'ottenimento di installazioni (Faklendings). Posizionando il file su un verde https: // dominio
* Collocato 1 clicca codice nascosto per utilizzare l'iniezione in js su eventuali atterraggi tra cui sui gusci
Quello che abbiamo aggiunto durante le vacanze:
* Built-in Modalità di Iframe (un po 'moralmente obsoleti, ma ha chiesto – Noi facemmo).
* falso aggiornamento Mirosoft (rompe pagina).
* Falso aggiornamento Jav e Flash aggiornamento falso (la pagina non si rompe, il contenuto originale è visibile).
* caricamento di un file dal proprio account personale al nostro server.
* Configurare ritardo per l'aspetto delle finestre falso.
* Auto-download quando si fa clic sul area della finestra.
* Aggiornamento dei database Nero e Geo da 13.01.18.
* aumento rompendo i download da 6%-12% a 10%-30%.
* aggiunto statistiche dettagliate sugli utenti che hanno scaricato il file.
* file di avvio automatico di prodotti falsi.
E questo è solo nei giorni festivi! Continuiamo a lavorare. Nuvola TDS al vostro servizio.
Da dove viene il BlackTDS traffico utilizza Vieni da?
Apparentemente, autori della minaccia traffico verso BlackTDS attraverso canali ben noti come spam e malvertising. Allora loro "impostare il malware o EK API di loro scelta, e quindi consentire il servizio di gestire tutti gli altri aspetti della distribuzione del malware tramite drive-by".
I ricercatori di sicurezza hanno osservato BlackTDS catene di infezione allo stato brado, offrendo il malware attraverso trucchi di social engineering e aggiornamenti software falsi. Ciò che è degno di nota è che, anche se l'identificazione di BlackTDS i siti non era così difficile per i ricercatori, associando il traffico con gli attori minaccia nota è stato molto impegnativo o addirittura difficili.
Il 19 febbraio, 2018, i ricercatori di sicurezza hanno notato una particolare campagna di spam, massicciamente schierato, che avevano allegati PDF con link a una catena che coinvolgono BlackTDS. L'operazione si è conclusa su un sito di vendita prodotti farmaceutici di sconto. Questo attore minaccia, identificato come TA5O5 stava diffondendo ransomware e bancarie Trojans su scala molto voluminoso.
Infine, molti ricercatori stanno ora facendo riferimento a “pacchetto” di servizi maligni come “as a service”, e la stessa regola vale per le reti di distribuzione del traffico. Nel caso di TDS, servizi come l'hosting e la configurazione dei componenti di un sofisticato drive-by di funzionamento sono compresi.
Quanto a BlackTDS in particolare, “Il basso costo, facilità di accesso, e relativamente anonimato BlackTDS ridurre le barriere all'ingresso per la distribuzione di malware web-based”. Su di esso tutte, la rete viene fornito con il supporto completo per l'ingegneria sociale e le opzioni per consegnare il malware direttamente o reindirizzare le vittime di sfruttamento pagine Kit di atterraggio. Nel complesso, questa rete di distribuzione del traffico rivela un certo livello di avanzamento, nonostante il calo di exploit kit.
attacchi basati sul Web non stanno andando da nessuna parte, e BlackTDS è la prova.