Houve tempos, não muito tempo atrás, quando kits de exploração foram amplamente implantados por hackers em vários tipos de campanhas maliciosas. Contudo, com a melhoria dos navegadores e alguns outros fatores focados na segurança, o uso de EKs começou a diminuir, e outra coisa rastejou em seu lugar. De fato, TDS ou sistemas de distribuição de tráfego têm sido um componente crucial dos kits de exploração.
EKs bem conhecidos como Angler e Nuclear normalmente tinham um TDS incluído, também conhecido como portão ou sistema de impressão digital. Eles foram usados para filtrar o tráfego de um usuário para acessar uma página específica para infectá-lo com malware.
Vamos pegar o Nuclear EK, que era uma das ferramentas favoritas de malware como serviço nas mãos de cibercriminosos e autores de ransomware. Nuclear EK foi usado para espalhar o ransomware Locky – um dos cripto vírus mais prevalentes e devastadores dos últimos anos. Contudo, Atividades nucleares tiveram queda sensível no final de abril, e de acordo com vários recursos, a infraestrutura do kit de exploração foi completamente congelada em 2016.
Com isso dito, pesquisadores de segurança da Proofpoint têm seguido um novo sistema de distribuição de tráfego apelidado de BlackTDS que é implantado na distribuição de várias peças de malware.
O que é BlackTDS? Descrição técnica
disse brevemente, BlackTDS é uma ferramenta TDS multifuncional que tem anunciado seus serviços nos mercados subterrâneos desde o final de dezembro 2017, como apontado pela equipe de pesquisa.
Este sistema de distribuição de tráfego fornece muitos serviços para as partes interessadas. Esses serviços são chamados de Cloud TDS. De acordo com as operadoras, o pacote Cloud TDS pode lidar com engenharia social e redirecionamento para EKs enquanto evita a detecção por pesquisadores e sandboxes. além do que, além do mais, BlackTDS também tem acesso a novos domínios com reputação limpa em HTTPS, os pesquisadores relataram.
Os serviços exatos BlackTDS tem a oferecer são apresentados em anúncios de fórum compartilhados abaixo:
Cloacking antibot tds com base em nossos servidores anti-abuso de $3 por dia de trabalho. Você não precisa de seu próprio servidor para receber tráfego. API para trabalhar com exploit packs e soluções próprias para processamento de tráfego para obtenção de instalações (FakeLandings). Soluções prontas para tráfego escuro da web. Colocado em 1 clique no código oculto para usar a injeção em js em qualquer patamar, incluindo em sites hackeados. ”
"Custo – $6 por dia, $45 por 10 dias, $90 por mês, Lugar GRATUITO em nosso servidor, Hospedagem GRATUITA do seu arquivo em https verdes:// domínio. 3 TESTE DE DIAS GRÁTIS ”
* Cloud Antibot Traffic Management System em nossos servidores anti-abuso
* API para trabalhar com pacotes de ações e soluções personalizadas para processamento de tráfego para obtenção de instalações (Faklendings). Colocando seu arquivo em um https verde: // domínio
* Colocado em 1 clique no código oculto para usar a injeção em js em quaisquer patamares, incluindo nas conchas
O que adicionamos durante as férias:
* Modos integrados Iframe (um pouco desatualizado moralmente, mas perguntou – nós fizemos).
* atualização falsa do Mirosoft (quebra a página).
* Fake update Jav e Fake update Flash (a página não quebra, o conteúdo original é visível).
* enviando um arquivo de sua conta pessoal para nosso servidor.
* Configure o atraso para o aparecimento de janelas falsas.
* Download automático ao clicar na área da janela.
* Atualizando os bancos de dados Black e Geo de 13.01.18.
* aumentou ao romper os downloads de 6%-12% para 10%-30%.
* adicionaram estatísticas detalhadas sobre os usuários que baixaram o arquivo.
* arquivo de inicialização automática em falsificações.
E isso é só nos feriados! Continuamos a trabalhar. Nuvem TDS ao seu serviço.
De onde vem o tráfego do BlackTDS??
Pelo visto, os autores da ameaça direcionam o tráfego para BlackTDS por meio de canais bem conhecidos, como spam e malvertising. Depois eles "configurar o malware ou EK API de sua escolha, e permitir que o serviço lide com todos os outros aspectos da distribuição de malware via drive-by”.
Pesquisadores de segurança têm observado BlackTDS cadeias de infecção na natureza, distribuir malware por meio de truques de engenharia social e atualizações de software falsas. O que vale a pena mencionar é que embora a identificação de BlackTDS sites não foi tão difícil para os pesquisadores, associar o tráfego a agentes de ameaças conhecidos foi bastante desafiador ou até mesmo difícil.
Em 19 de fevereiro, 2018, os pesquisadores de segurança notaram uma determinada campanha de spam, massivamente implantado, que tinha anexos de PDF com links para uma cadeia envolvendo BlackTDS. A operação terminou em um site de venda de medicamentos com desconto. Este ator de ameaça, identificado como TA5O5, estava espalhando ransomware e cavalos de Troia bancários em uma escala muito grande.
por fim, muitos pesquisadores agora estão se referindo a serviços maliciosos “empacotados” como “como serviço”, e a mesma regra se aplica a redes de distribuição de tráfego. No caso de TDS, serviços como hospedagem e configuração dos componentes de uma operação drive-by sofisticada estão incluídos.
Quanto a BlackTDS em particular, “O baixo custo, facilidade de acesso, e relativamente anonimato de BlackTDS reduzir as barreiras à entrada de distribuição de malware baseada na web ”. No topo de tudo, a rede vem com suporte total para engenharia social e as opções para entregar malware diretamente ou redirecionar as vítimas para explorar as páginas de destino do kit. Como um todo, esta rede de distribuição de tráfego revela um certo nível de avanço, apesar do declínio dos kits de exploração.
Ataques baseados na web não vão a lugar nenhum, e BlackTDS é a prova.