Beragam Serangan Cyber ​​Memanfaatkan Layanan Malware Prometheus TDS

  • Whatsapp
Beragam Serangan Cyber ​​Memanfaatkan Layanan Malware Prometheus TDS

Beberapa kelompok penjahat dunia maya memanfaatkan solusi malware-as-a-service (MaaS) untuk mendistribusikan berbagai kampanye distribusi perangkat lunak berbahaya yang menghasilkan penyebaran muatan seperti Campo Loader, Hancitor, IcedID, QBot, Buer Loader, dan SocGholish terhadap individu di Belgia serta lembaga pemerintah, perusahaan, dan perusahaan di AS

Tim Stack Overflow

Dijuluki “Prometheus” dan tersedia untuk dijual di platform bawah tanah seharga $250 per bulan sejak Agustus 2020, layanan ini adalah Traffic Direction System (TDS) yang dirancang untuk mendistribusikan dokumen Word dan Excel yang mengandung malware, dan mengalihkan pengguna ke situs phishing dan berbahaya, menurut sebuah Grup-IB laporan dibagikan dengan The Hacker News.

Bacaan Lainnya

Lebih dari 3.000 alamat email dikatakan telah dipilih melalui kampanye jahat di mana Prometheus TDS digunakan untuk mengirim email berbahaya, dengan perbankan dan keuangan, ritel, energi dan pertambangan, keamanan siber, perawatan kesehatan, TI, dan asuransi muncul sebagai target vertikal terkemuka. oleh serangan.

“Prometheus TDS adalah layanan bawah tanah yang mendistribusikan file berbahaya dan mengarahkan pengunjung ke situs phishing dan berbahaya,” kata peneliti Group-IB. “Layanan ini terdiri dari panel administratif Prometheus TDS, di mana penyerang mengonfigurasi parameter yang diperlukan untuk kampanye jahat: mengunduh file berbahaya, dan mengonfigurasi pembatasan pada geolokasi pengguna, versi browser, dan sistem operasi.”

Layanan ini juga diketahui menggunakan situs web pihak ketiga yang terinfeksi yang ditambahkan secara manual oleh operator kampanye dan bertindak sebagai perantara antara panel administratif penyerang dan pengguna. Untuk mencapai ini, file PHP bernama “Prometheus.Backdoor” diunggah ke situs web yang disusupi untuk mengumpulkan dan mengirim kembali data tentang korban, berdasarkan keputusan yang diambil apakah akan mengirim muatan ke pengguna dan/atau mengarahkan mereka ke URL yang ditentukan.

Skema serangan dimulai dengan email yang berisi file HTML, link ke web shell yang mengarahkan pengguna ke URL tertentu, atau link ke Google Doc yang disematkan dengan URL yang mengarahkan pengguna ke link berbahaya yang ketika dibuka atau diklik mengarahkan penerima ke situs web yang terinfeksi, yang secara diam-diam mengumpulkan informasi dasar (alamat IP, Agen-Pengguna, tajuk Perujuk, zona waktu, dan data bahasa) dan kemudian meneruskan data ini ke panel admin Prometheus.

Mencegah Serangan Ransomware

Pada fase terakhir, panel administratif bertanggung jawab untuk mengirimkan perintah untuk mengarahkan pengguna ke URL tertentu, atau untuk mengirim dokumen Microsoft Word atau Excel yang sarat malware, dengan pengguna diarahkan ke situs yang sah seperti DocuSign atau USPS segera setelahnya. mengunduh file untuk menutupi aktivitas berbahaya. Selain mendistribusikan file berbahaya, peneliti menemukan bahwa Prometheus TDS juga digunakan sebagai TDS klasik untuk mengarahkan pengguna ke situs tertentu, seperti situs web VPN palsu, portal meragukan yang menjual Viagra dan Cialis, dan situs phishing perbankan.

“Prometheus TDS juga mengarahkan pengguna ke situs yang menjual produk farmasi,” catat para peneliti. “Operator situs tersebut sering memiliki program afiliasi dan kemitraan. Mitra, pada gilirannya, sering menggunakan kampanye SPAM agresif untuk meningkatkan pendapatan dalam program afiliasi. Analisis infrastruktur Prometheus oleh spesialis Grup-IB mengungkapkan tautan yang mengarahkan pengguna ke situs yang berkaitan dengan perusahaan farmasi Kanada.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *