Varios grupos de ciberdelincuentes utilizan soluciones de malware como servicio (MaaS) para llevar a cabo una amplia gama de campañas de distribución de malware que conducen a implementaciones de carga útil como Campo Loader, Hancitor, IcedID, QBot, Buer Loader y SocGholish contra personas en Bélgica y agencias gubernamentales, empresas y corporaciones en los Estados Unidos
apodado «PrometeoEl servicio está disponible para la venta en plataformas subterráneas por $ 250 por mes desde agosto de 2020. Es un servicio de Sistema de dirección de tráfico (TDS) diseñado para distribuir documentos de Word y Excel vinculados a malware y desviar a los usuarios a sitios de phishing y malware. Informe de Group-IB compartido con The Hacker News.
Se informó que se seleccionaron más de 3000 direcciones de correo electrónico a través de campañas maliciosas en las que se usó Prometheus TDS para enviar correos electrónicos maliciosos, con banca y finanzas, comercio minorista, energía y minería, seguridad cibernética, atención médica, TI emergentes como verticales de orientación prominentes. seguro. ataques
«Prometheus TDS es un servicio clandestino que distribuye archivos maliciosos y redirige a los visitantes a sitios maliciosos y de phishing», dijeron los investigadores de Group-IB. “Este servicio consiste en el panel de administración de Prometheus TDS, en el que un atacante configura los parámetros necesarios para una campaña maliciosa: descarga de archivos maliciosos y configuración de restricciones de geolocalización de usuarios, versiones del navegador y sistema operativo”.
También se sabe que el servicio utiliza sitios web de terceros infectados, que los operadores de campañas agregan manualmente y actúan como intermediarios entre el panel de administración del atacante y el usuario. Para hacer esto, un archivo PHP llamado «Prometeo. Puerta trasera«Se carga en el sitio web comprometido con el fin de recopilar y devolver datos de la víctima, en función de los cuales decide enviar al usuario una carga útil y/o redirigirlo a la URL especificada.
El esquema de ataque comienza con un correo electrónico que contiene un archivo HTML, un enlace a un shell web que redirige al usuario a la URL especificada o un enlace a un documento de Google que está incrustado con una URL que redirige al usuario a un sitio malicioso. enlace que lleva al destinatario cuando se abre o se hace clic en él a un sitio web infectado que recopila información básica en secreto (dirección IP, agente de usuario, encabezado de referencia, zona horaria y datos de idioma) y luego pasa esta información al panel de administradores de Prometheus.
En la fase final, el panel administrativo asume la responsabilidad de enviar un comando de redirección a una URL específica o de enviar un documento de Microsoft Word o Excel infectado con malware, y el usuario será redirigido a un sitio legítimo, como DocuSign o USPS, inmediatamente. después de eso. descargue el archivo para enmascarar la actividad maliciosa. Además de distribuir archivos maliciosos, los investigadores descubrieron que Prometheus TDS también se usa como un TDS clásico para redirigir a los usuarios a sitios específicos, como sitios VPN falsos, portales dudosos que venden Viagra y Cialis y sitios de phishing bancario.
«Prometheus TDS también ha redirigido a los usuarios a sitios que venden productos farmacéuticos», dijeron los investigadores. «Los operadores de tales sitios a menudo tienen programas de afiliados y afiliados. Los socios a menudo recurren a campañas agresivas de SPAM para aumentar las ganancias del programa de afiliados. El análisis de infraestructura de Prometheus realizado por especialistas de Group-IB ha revelado enlaces que redirigen a los usuarios a sitios relacionados con la compañía farmacéutica canadiense. . «
