Los piratas informáticos rusos utilizan en gran medida el sistema de dirección de tráfico malicioso para distribuir malware

Traffic Direction System Noticias

Se han establecido conexiones potenciales entre una solución de crimeware como servicio (Caas) basada en suscripción y una copia descifrada de Cobalt Strike en lo que los investigadores sospechan que se ofrece como una herramienta para que sus clientes realicen actividades posteriores a la explotación.

Prometheus, como se llama el servicio, salió a la luz por primera vez en agosto de 2021 cuando la empresa de ciberseguridad Group-IB reveló detalles de campañas de distribución de software malicioso realizadas por grupos de ciberdelincuentes para distribuir Campo Loader, Hancitor, IcedID, QBot, Buer Loader y SocGholish en Bélgica. y los Estados Unidos

Con un costo de 250 dólares al mes, se comercializa en los foros clandestinos rusos como un sistema de dirección de tráfico (TDS) para permitir la redirección de phishing a escala masiva a páginas de destino no autorizadas que están diseñadas para implementar cargas útiles de malware en los sistemas objetivo.

«Prometheus puede considerarse un servicio/plataforma de cuerpo completo que permite a los grupos de amenazas proporcionar sus operaciones de malware o phishing con facilidad», dijo el equipo de investigación e inteligencia de BlackBerry. dicho en un informe compartido con The Hacker News. «Los componentes principales de Prometheus incluyen una red de infraestructura maliciosa, distribución de correo electrónico malicioso, alojamiento de archivos ilícitos a través de servicios legítimos, redirección de tráfico y la capacidad de entregar archivos maliciosos».

Por lo general, la redirección se canaliza desde una de dos fuentes principales, a saber, con la ayuda de anuncios maliciosos (también conocido como publicidad maliciosa) en sitios web legítimos, o a través de sitios web que han sido manipulados para insertar código malicioso.

En el caso de Prometheus, la cadena de ataque comienza con un correo electrónico no deseado que contiene un archivo HTML o una página de Google Docs que, tras la interacción, redirige a la víctima a un sitio web comprometido que aloja una puerta trasera de PHP que toma las huellas dactilares de la máquina para determinar si el «para servir a la víctima con malware o redirigirla a otra página que pueda contener una estafa de phishing».

Sistema de Dirección de Tráfico

Se dice que la actividad más temprana relacionada con los operadores del servicio, que se conocen con el nombre de «Ma1n» en los foros de piratería, comenzó en octubre de 2018, con el autor vinculado a otras herramientas ilícitas que ofrecen redireccionamientos de alta calidad y kits PowerMTA para enviar por correo a empresas. buzones, antes de poner a la venta Prometheus TDS el 22 de septiembre de 2020.

Eso no es todo. BlackBerry también encontró superposiciones entre la actividad relacionada con Prometheus y una versión ilegítima del software de emulación de amenazas y simulación adversaria Cobalt Strike, lo que plantea la posibilidad de que la copia esté siendo «proliferada por los propios operadores de Prometheus».

Sistema de Dirección de Tráfico

«Es posible que alguien relacionado con Prometheus TDS mantenga esta copia descifrada y la proporcione al momento de la compra», dijeron los investigadores. «También es posible que esta instalación descifrada se proporcione como parte de un libro de jugadas estándar o una instalación de máquina virtual (VM)».

Esto está respaldado por el hecho de que varios actores de amenazas, incluidos DarkCrystal RAT, FickerStealer, FIN7, Qakbot y IceID, así como cárteles de ransomware como REvil, Ryuk (Wizard Spider), BlackMatter y Cerber, han utilizado el cracked copia en cuestión durante los últimos dos años.

Además de eso, el mismo Cobalt Strike Beacon también se ha observado junto con actividades asociadas con un corredor de acceso inicial rastreado como Zebra2104, cuyos servicios han sido utilizados por grupos como StrongPity, MountLocker y Phobos para sus propias campañas.

«Si bien los TDS no son un concepto nuevo, el nivel de complejidad, el soporte y el bajo costo financiero agregan credibilidad a la teoría de que esta es una tendencia que probablemente aumente en el futuro cercano del panorama de amenazas», señalaron los investigadores.

«El volumen de grupos que utilizan ofertas como Prometheus TDS habla del éxito y la eficacia de estos servicios de alquiler de infraestructura ilícita, que son, en esencia, empresas completas que respaldan las actividades maliciosas de grupos independientemente de su tamaño, nivel de recursos o motivos”.

David
Rate author
Hackarizona