Pakar Temukan Promotheus TDS, Sebuah MaaS Bawah Tanah

  • Whatsapp
Pakar Temukan Promotheus TDS, Sebuah MaaS Bawah Tanah

 

Pakar keamanan siber dari Group-IB dalam penelitian teknisnya tentang Promotheus TDS, sebuah MaaS bawah tanah (Malware as a service), menemukan bahwa mereka telah menyediakan layanan untuk distribusi berbagai varian malware seperti Campo Loader, Buer Loader, Qbot, Hancitor, IcedID , dan SocGholish. Promotheus telah digunakan secara agresif di forum bawah tanah sejak tahun lalu. Ini adalah platform di mana seseorang dapat mengirim email, melakukan rekayasa sosial, dan bekerja di sepanjang lalu lintas. Selain itu, TDS (Traffic Direction System) juga dapat digunakan untuk eksekusi web shell dan mengarahkan pembuatan dan pengelolaan, bekerja menggunakan proxy, kompatibel dengan akun Google, dan juga memungkinkan pengguna melawan daftar hitam.
Security Week melaporkan “serangan tipikal yang melibatkan Prometheus TDS dimulai dengan email berbahaya yang membawa file HTML untuk mengarahkan korban ke situs yang disusupi, tautan ke shell web yang melakukan pengalihan. Setelah korban mengikuti tautan, mereka akan dialihkan ke URL Prometheus.Backdoor tempat data mereka dikumpulkan dan dikirim ke panel admin Prometheus TDS, yang memutuskan cara melayani tahap berikutnya.” Layanan ini dapat dicairkan seharga $ 250 setiap bulan. Selain menyediakan distribusi file berbahaya, TDS juga digunakan untuk mengarahkan korban ke situs berbahaya dan Phishing.
Kampanye pertama Promotheus TDS ditemukan pada tahun 2021, bersama dengan kampanye aktif tambahan, dan total 3000 pengguna telah ditemukan hingga saat ini. TDS mencakup panel administrator yang memungkinkan peretas untuk mengubah parameter berbeda untuk kampanye malware, yang terdiri dari unduhan file berbahaya, pembatasan geolokasi, sistem operasi, dan browser. Situs yang disusupi pihak ketiga digunakan sebagai pengungkit antara korban dan panel administratif. Para ahli menemukan file PHP bernama ‘Promotheus’ backdoor di salah satu situs tersebut.
Itu dibangun untuk mencuri data pengguna dan mengirimkannya. “Layanan ini telah digunakan untuk mengirim email berbahaya ke lebih dari 3.000 alamat hingga saat ini. Kampanye paling aktif menargetkan individu di Belgia (lebih dari 2.000 email), sedangkan serangan terbesar kedua menargetkan entitas AS (lebih dari 260 email menargetkan lembaga pemerintah dan organisasi di sektor-sektor seperti keuangan, asuransi, perawatan kesehatan, energi dan pertambangan, ritel, TI, dan keamanan siber),” kata Security Week.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *