サイバーセキュリティ研究者が新しいTDSを検出しました (交通方向システム), オウムと呼ばれる, 何万もの侵害されたWebサイトを使用している.
オウムTDSは感染したサイトの大規模なネットワークを使用しています
Parrot TDSは、複数のWebサーバーをホストする複数のWebサーバーに感染しています。 16,500 ウェブサイト, デコードされたと言った (アバスト) 研究者. ウェブサイトには、アダルトなどのカテゴリが含まれています, 個人的, 大学, と地方自治体. TDSネットワークはゲートウェイとして機能します, そしてオウムの場合, 感染したサイトはFakeUpdateによって変更されます (SocGholish) JavaScriptを使用してブラウザの更新に関する偽の通知を表示するキャンペーン, 被害者にリモートアクセスツールを提供する.
研究者たちは、オウムTDSは、昨年春に野生で出てきたプロメテウスTDSに似ていると信じています. でも, オウムはより頑丈です, より強力なリーチで. 研究者たちは、「2月のオウムTDSの活動の増加を観察しました 2022 侵害されたWebサーバー上の疑わしいJavaScriptファイルを検出する,」レポートによると. 分析を行った後, 研究者たちは、オウムを使用するいくつかのタイプのキャンペーンを発見しました. TDS自体は少なくとも10月から活動しています 2021.
侵害されたサイトには、互いに共通点はありません。, 安全性の低いCMSサイトをホストするサーバーは別として, WordPressなど.
「3月から 1, 2022 行進する 29, 2022, 私たちはより多くを保護しました 600,000 これらの感染したサイトにアクセスすることから世界中からのユニークユーザー. この時間枠で, ブラジルで最も多くのユーザーを保護しました, より多い 73,000 ユニークユーザー, インド, ほぼ 55,000 ユニークユーザー, 以上 31,000 米国からのユニークユーザー," レポート 了解しました.
オウムTDS: 偽の更新キャンペーンの説明
FakeUpdateキャンペーンは、いくつかのメカニズムを使用する防御の第2層を提供します, 悪意のあるコンテンツを特定の1人のユーザーにのみ配信する一意のURLを使用するなど. 最後の防御メカニズムは、ユーザーのPCをスキャンすることです, FakeUpdateC2サーバーによってユーザーに送信されたいくつかのJavaScriptコードによって実行されます. このスキャンの目的は、被害者から次の情報を収集することです。:
PCの名前
ユーザー名
ドメイン名
メーカー
モデル
BIOSバージョン
ウイルス対策およびスパイウェア対策製品
Macアドレス
OSバージョン
操作の最終的なペイロードはRATです, 一般的にctfmon.exeという名前, 正当なプログラムの名前を模倣する. コンピュータの電源を入れると、悪意のあるツールが自動的に起動します。 HKCU SOFTWARE Microsoft Windows CurrentVersion Run レジストリキー, レポートが追加されました.
以前にアクティブだったTDSシステム
それについて言及するのは不思議です, ブラウザの改善に伴い, エクスプロイトキットの使用は減少し始めました, そしてTDSシステムがそれらを置き換えました. 実際には, トラフィック分散システムは、エクスプロイトキットの重要なコンポーネントでした, しかし、EKが減少したので, TDSはマルウェア配布キャンペーンでより人気がありました. 主に使用されるTDSの例は次のとおりです。 BlackTDS, で出現した 2018. それはたくさんのサービスを提供しました, クラウドTDSとして知られています. Cloud TDSパッケージは、ソーシャルエンジニアリングと、EKへのリダイレクトを処理し、研究者やサンドボックスによる検出を回避しました。. BlackTDSは、HTTPSを介したレピュテーションがクリーンな新しいドメインにもアクセスできました。.
TDSの別の例は ElTest, 4月に沈没した 2018. 削除される前は最大のTDSと見なされていました.