NUEVO CANAL DE DISTRIBUCIÓN DE MALWARE BASADO EN WEB ‘BLACKTDS’ SUPERFICIES

Un nuevo sistema de distribución de tráfico para malware se ofrece como un servicio en la Dark Web y se promociona como una forma asequible de implementar kits de exploits y malware. El sistema de distribución de tráfico (TDS) se llama BlackTDS por los investigadores de Proofpoint que lo encontraron.

Los sistemas de distribución de tráfico actúan como intermediarios que compran y venden tráfico de un sitio a otro. Agregan valor al filtrar el tráfico según el navegador del usuario, la dirección IP, la geografía y los datos del agente de usuario. Cuando un usuario hace clic en un enlace que forma parte de una cadena TDS, se redirige silenciosamente a una página web maliciosa en función de su perfil. Los sistemas TDS son conocidos por ayudar a los delincuentes a distribuir malware basado en la web a través de kits de exploits y descargas falsas.

Lo que Proofpoint descubrió fue una oferta de TDS como servicio que se conoce con el nombre de Cloud TDS en la Dark Web. El servicio no es tan completo como otras ofertas de TDS. Requiere que los actores de amenazas dirijan su propio tráfico a BlackTDS. A partir de ahí, sin embargo, BlackTDS prometió utilizar los datos de perfil de la víctima para optimizar qué kits de exploits o malware expondrían al usuario.

«Los operadores afirman que su Cloud TDS puede manejar la ingeniería social y la redirección para explotar los kits (EK) al tiempo que impide la detección por parte de los bots, es decir, los investigadores y los sandboxes. Cloud TDS también incluye el acceso a dominios nuevos con una reputación limpia a través de HTTPS si es necesario «, según un informe de Proofpoint publicado el miércoles . Proofpoint dijo que la herramienta se ha anunciado en mercados clandestinos desde finales de diciembre de 2017.

«Observamos cadenas de infección BlackTDS varias veces en la naturaleza, distribuyendo malware a través de actualizaciones falsas de software y otros esquemas de ingeniería social», dijo Proofpoint a Threatpost.

Proofpoint dijo que BlackTDS parece ser altamente escalable y fácil de implementar, reduciendo las barreras para los piratas informáticos. Los servicios Cloud TDS también son relativamente económicos, desde $ 6 por día, $ 45 por 10 días o $ 90 por mes. A continuación se muestra el texto de un anuncio:

Cloacking antibot tds basado en nuestros servidores sin abuso desde $ 3 por día de trabajo. No necesita su propio servidor para recibir tráfico. API para trabajar con paquetes de exploits y soluciones propias para procesar tráfico para obtener instalaciones (FakeLandings). Soluciones listas para usar de tráfico web oscuro. Colocado en 1 clic código oculto para usar la inyección en js en cualquier aterrizaje, incluso en sitios web pirateados.

«Al igual que muchos servicios legítimos, observamos cada vez más los servicios maliciosos ofrecidos ‘como un servicio’. En este caso, los servicios incluyen alojamiento y configuración de los componentes de un sofisticado drive-by. El bajo costo, la facilidad de acceso y el relativamente anonimato de BlackTDS reducen las barreras de entrada a la distribución de malware basada en la web. Con soporte total para la ingeniería social y la flexibilidad para distribuir malware directamente o simplemente redireccionar a las víctimas para explotar las páginas de destino del kit, BlackTDS demuestra la continua maduración de crimeware como servicio «, escribió Proofpoint.

El servicio permite a los actores elegir las API de malware o kit de explotación que elijan. El servicio maneja todos los demás aspectos de la distribución de malware.

«La redirección real, el filtrado y el alojamiento de plantillas de ingeniería social con conexiones a malware hospedado o kits de exploits, así como los mecanismos de usuario detrás de los ataques controlados, todos son manejados por este único servicio basado en la nube. Todo lo que el actor necesita es el tráfico y la carga útil o el acceso EK «, dijo Kevin Epstein, vicepresidente de operaciones de amenazas de Proofpoint, a Threatpost.

Ese fue el caso del actor de amenazas TA505, que utilizó los servicios BlackTDS para lanzar una campaña masiva de spam farmacéutico el 19 de febrero.

De acuerdo con Proofpoint, TA505 envió spam a los usuarios con archivos adjuntos en formato PDF que contenían enlaces a una cadena que involucraba a BlackTDS. La cadena de redirección finalizó en un sitio web que pretendía vender productos farmacéuticos de descuento.

«(BlackTDS) demuestra que, a pesar de su constante declive, los EK y los ataques basados en la web no son cosa del pasado», según Proofpoint. «Por el contrario, las cadenas de ataque basadas en la web están incorporando cada vez más la ingeniería social, aprovechando tanto la infraestructura subyacente existente como la falibilidad humana en lugar de exploits efímeros».

Fuente: Threatpost.com

Los datos de la Dark Web se están filtrando más que nunca

Por qué las vacaciones ponen a su empresa en riesgo de sufrir un ciberataque (y cómo tomar las precauciones)

Hackers amenazan con filtrar información del ataque a las Torres Gemelas