Исследователи из Proofpoint обнаружили в дарквебе объявления об аренде системы распределения трафика (Traffic Distribution System, TDS), которая помогает без больших затрат разворачивать эксплойт-паки и вредоносные программы. Сотрудники компании назвали свою находку BlackTDS.

Системы распределения трафика выполняют функцию брокеров, которые покупают и перепродают трафик с одного сайта на другой. Кроме того, они фильтруют трафик в зависимости от браузера пользователя, его IP-адреса, местоположения и данных программного агента. В данном случае при переходе пользователя по ссылке в цепочке TDS его перенаправляют на вредоносную веб-страницу, подобранную в соответствии с информацией о нем.

Обнаруженная экспертами Proofpoint система продается под названием Cloud TDS и обладает довольно скромным набором функций. Чтобы воспользоваться ею, злоумышленник должен сначала направить к ней собственный трафик. Затем, исходя из сведений о жертве, система подбирает наиболее эффективные эксплойт-паки и вредоносные программы.

Согласно отчету, Cloud TDS способна обеспечить применение социальной инженерии и перенаправление на эксплойт-площадки, а также противодействие обнаружению автоматизированными средствами. Кроме того, при необходимости система через HTTPS может предоставить доступ в новые домены с чистой репутацией. По словам исследователей, этот инструмент рекламируют на подпольных рынках с конца декабря 2017 года.

Fake_Java_Update«Мы несколько раз наблюдали цепочки заражения BlackTDS в рамках распространения вредоносных программ через подставные обновления ПО и другие элементы социальной инженерии», — отметил представитель Proofpoint, комментируя находку для Threatpost.

Система распределения трафика легко масштабируется и разворачивается, что упрощает задачу для хакеров, а также отличается сравнительно низкой ценой — 6 долларов в день, 45 за 10 дней или 90 за месяц. В сети можно найти ее рекламу со следующим текстом:

«Незаметная TDS с защитой от ботов на базе надежных серверов — от 3 долларов в день. Не требует наличия собственного сервера для получения трафика. API для работы с эксплойт-паками и решения для обработки трафика с целью установки вредоносного ПО (FakeLandings). Готовые инструменты в дарквебе для решения проблем с трафиком. Внедряемый в JavaScript скрытый код выполняется в 1 клик на любой целевой странице, в том числе на взломанных веб-сайтах».

Как отмечают исследователи Proofpoint, число вредоносных сервисов на черном рынке постоянно растет. В случае BlackTDS злоумышленники также предоставляют хостинг и конфигурацию всех компонентов, необходимых для сложных drive-by загрузок. Низкая стоимость, простота доступа, относительная анонимность, полноценная поддержка социальной инженерии и гибкость в отношении выбора цели делают эту систему привлекательной для киберпреступников.

«Этот облачный сервис предоставляет все элементы drive-by атаки — перенаправление, фильтрацию, хостинг шаблонов социальной инженерии с привязкой к размещенным в Сети вредоносным программам или эксплойт-пакам, а также механизмы пользовательского интерфейса. Злоумышленнику остается лишь предоставить трафик и полезную нагрузку или доступ к эксплойт-паку», — пояснил для Threatpost Кевин Эпштейн (Kevin Epstein), вице-президент по изучению угроз в Proofpoint.

BlackTDS воспользовался, например, злоумышленник под ником TA505, который 19 февраля провел массовую рассылку спама, продвигающего услуги нелицензированных интернет-аптек. По данным Proofpoint, он снабжал свои письма PDF-вложением со ссылкой на редиректы в цепочке BlackTDS, которая приводила на сайт, якобы продававший лекарственные препараты со скидкой.

«Появление BlackTDS доказывает, что, несмотря на падающую популярность, эксплойт-паки и веб-атаки еще не ушли в прошлое, — констатируют в Proofpoint. — Напротив, в эти цепочки все чаще интегрируются элементы социальной инженерии, позволяющие воспользоваться как существующей инфраструктурой, так и человеческой доверчивостью».

Категории: Вредоносные программы