Nhiều nhóm tội phạm mạng đang tận dụng giải pháp phần mềm độc hại dưới dạng dịch vụ (MaaS) để phân phối một loạt các chiến dịch phân phối phần mềm độc hại dẫn đến việc triển khai các trọng tải như Campo Loader, Hancitor, IcedID, QBot, Buer Loadervà SocGholish chống lại các cá nhân ở Bỉ cũng như các cơ quan chính phủ, công ty và tập đoàn ở Hoa Kỳ
Được mệnh danh là “Prometheus TDS“(viết tắt của Traffic Direction System) và có sẵn để bán trên các nền tảng ngầm với giá 250 đô la một tháng kể từ tháng 8 năm 2020, dịch vụ được thiết kế để phân phối các tài liệu Word và Excel có chứa phần mềm độc hại và chuyển hướng người dùng đến các trang web lừa đảo và độc hại, theo một Group- IB báo cáo đã chia sẻ với The Hacker News.
Hơn 3.000 địa chỉ email được cho là đã bị loại bỏ thông qua các chiến dịch độc hại, trong đó Prometheus TDS được sử dụng để gửi email độc hại, với ngân hàng và tài chính, bán lẻ, năng lượng và khai thác, an ninh mạng, chăm sóc sức khỏe, CNTT và bảo hiểm đang là những ngành dọc nổi bật được nhắm mục tiêu bởi các cuộc tấn công.
Các nhà nghiên cứu của Group-IB cho biết: “Prometheus TDS là một dịch vụ ngầm phân phối các tệp độc hại và chuyển hướng khách truy cập đến các trang web lừa đảo và độc hại”. “Dịch vụ này được tạo thành từ bảng quản trị Prometheus TDS, trong đó kẻ tấn công định cấu hình các thông số cần thiết cho một chiến dịch độc hại: tải xuống các tệp độc hại và định cấu hình các hạn chế về vị trí địa lý, phiên bản trình duyệt và hệ điều hành của người dùng.”
Dịch vụ này cũng được biết là sử dụng các trang web bị nhiễm của bên thứ ba được các nhà điều hành chiến dịch thêm vào theo cách thủ công và hoạt động như một người trung gian giữa ban quản trị của kẻ tấn công và người dùng. Để đạt được điều này, một tệp PHP có tên “Prometheus.Backdoor“được tải lên trang web bị xâm phạm để thu thập và gửi lại dữ liệu về nạn nhân, dựa vào đó đưa ra quyết định về việc có gửi trọng tải cho người dùng và / hoặc chuyển hướng họ đến URL được chỉ định hay không.
Kế hoạch tấn công bắt đầu bằng email có chứa tệp HTML, liên kết đến trình bao web chuyển hướng người dùng đến một URL được chỉ định hoặc liên kết đến Google Tài liệu được nhúng với một URL chuyển hướng người dùng đến liên kết độc hại mà khi được mở hoặc được nhấp sẽ dẫn người nhận đến trang web bị nhiễm, trang web này lén lút thu thập thông tin cơ bản (địa chỉ IP, Tác nhân người dùng, tiêu đề liên kết giới thiệu, múi giờ và dữ liệu ngôn ngữ) và sau đó chuyển tiếp dữ liệu này đến bảng quản trị Prometheus.
Trong giai đoạn cuối cùng, bảng quản trị chịu trách nhiệm gửi lệnh chuyển hướng người dùng đến một URL cụ thể hoặc gửi tài liệu Microsoft Word hoặc Excel chứa phần mềm độc hại, với người dùng được chuyển hướng đến một trang web hợp pháp như DocuSign hoặc USPS ngay sau đó tải xuống tệp để che giấu hoạt động độc hại. Bên cạnh việc phân phối các tệp độc hại, các nhà nghiên cứu phát hiện ra rằng Prometheus TDS cũng được sử dụng như một TDS cổ điển để chuyển hướng người dùng đến các trang web cụ thể, chẳng hạn như các trang web VPN giả mạo, các cổng đáng ngờ bán Viagra và Cialis và các trang web lừa đảo ngân hàng.
Các nhà nghiên cứu lưu ý: “Prometheus TDS cũng chuyển hướng người dùng đến các trang web bán sản phẩm dược phẩm. “Các nhà điều hành các trang web như vậy thường có các chương trình liên kết và đối tác. Ngược lại, các đối tác thường sử dụng các chiến dịch SPAM tích cực để tăng thu nhập trong chương trình liên kết. Phân tích cơ sở hạ tầng Prometheus của các chuyên gia Group-IB đã tiết lộ các liên kết chuyển hướng người dùng đến các trang web liên quan đến một công ty dược phẩm của Canada. “
