BlackTDS surge como un kit de descarga involuntaria para la distribución de malware
Un nuevo sistema de distribución de tráfico llamado BlackTDS ha surgido en la clandestinidad y se está promocionando a sí mismo como una herramienta de servicio para la distribución de malware.
El BlackTDS, de propiedad privada, fue descubierto por investigadores de Proofpoint a finales de diciembre de 2017. Este ofrece una variedad de servicios a sus "clientes" que colectivamente se conoce como Cloud TDS; estos incluyen el alojamiento y la configuración de los componentes de sofisticados ataques de descarga involuntaria, como la ingeniería social y el redireccionamiento de paquetes de exploit (EK), al tiempo que impide la detección por parte de los investigadores y los sandboxes. Cloud TDS también incluye acceso a dominios nuevos con una reputación limpia a través de HTTPS.
"Los ciberatcantes dirigen el tráfico a BlackTDS a través de spam, publicidad maliciosa y otros medios, configuran el malware o la API EK de su elección y luego permiten que el servicio maneje todos los demás aspectos de la distribución de malware a través del la descarga involuntaria“, dijeron los investigadores en un post. "Observamos cadenas de infección BlackTDS varias veces, distribuyendo malware a través de actualizaciones falsas de software y otros esquemas de ingeniería social".
Hay evidencia de que BlackTDS está permitiendo a los actores que conocen de la amenaza ramificarse en nuevos reinos. Por ejemplo, el 19 de febrero se observó una gran campaña de correo no deseado del actor TA505, utilizando archivos PDF adjuntos que contienen enlaces a una cadena que involucra a BlackTDS. La cadena terminó con un sitio web fraudulento que pretende vender productos farmacéuticos de descuento.
"TA505 típicamente ha distribuido ransomware y troyanos bancarios a gran escala, lo que hace que esta campaña en particular sea inusual", señalaron los investigadores.
Proofpoint también publicó los anuncios de la Dark Web para el servicio (el texto no ha sido editado):
“Antibots de encubrimiento basados en nuestros servidores sin uso indebido desde $3 USD por día de trabajo. No necesita su propio servidor para recibir tráfico. API para trabajar con paquetes de exploits y soluciones propias para procesar tráfico para obtener instalaciones (FakeLandings). Soluciones listas para el uso de tráfico de la Dark Web. Colocación en 1 clic de código oculto para usar la inyección en js en cualquier landing, incluso en sitios web pirateados ".
"Costo: $6 USD por día, $45 USD por 10 días, $90 USD por mes, lugar GRATIS en nuestro servidor, alojamiento GRATUITO de su archivo en el dominio verde https://dominio. 3 DÍAS DE PRUEBA GRATUITA "
Los investigadores observaron que el bajo costo, la facilidad de acceso y el anonimato relativo de BlackTDS reducen las barreras de entrada a la distribución de malware basado en la web.
"Con pleno apoyo para la ingeniería social y la flexibilidad para distribuir malware directamente o simplemente redireccionar a las víctimas para explotar las páginas de destino del kit, BlackTDS demuestra la continua maduración del crimen-como-servicio", dijeron. "Además, demuestra que, a pesar de su disminución constante, los ataques por Internet y los ataques basados en la web no son cosa del pasado. Por el contrario, las cadenas de ataque basadas en la web están incorporando cada vez más la ingeniería social, aprovechando la infraestructura subyacente existente y la falibilidad humana en lugar de exploits de corta duración".