Vários grupos cibercriminosos estão utilizando uma solução de Malware-as-a-Service (MaaS) para distribuir uma vasta gama de campanhas de distribuição de software malicioso que resultam na implantação de cargas úteis, tais como Campo Loader, Hancitor, IcedID, QBot, Buer Loader, e SocGholish contra indivíduos na Bélgica, bem como agências governamentais, empresas e corporações nos EUA.
Conhecido como “Prometheus” e disponível para venda na Deep Web por US$250 ao mês desde agosto de 2020, o serviço é um Traffic Direction System (TDS) projetado para distribuir documentos do Word e Excel com um malware e desviar os usuários para sites de phishing e maliciosos, de acordo com um relatório do Group-IB.
Mais de 3.000 endereços de e-mail foram identificados por meio de campanhas maliciosas nas quais o Prometheus TDS foi usado para enviar e-mails maliciosos, com bancos e finanças, varejo, energia e mineração, segurança cibernética, saúde, TI e seguros emergindo como os principais setores visados pelos ataques.
“O Prometheus TDS é um serviço clandestino que distribui arquivos maliciosos e redireciona os visitantes para sites de phishing maliciosos”, disseram os pesquisadores do Group-IB. “Este serviço é composto pelo painel administrativo do Prometheus TDS, no qual um invasor configura os parâmetros necessários para uma campanha maliciosa: download de arquivos maliciosos e configuração de restrições de geolocalização, versão do navegador e sistema operacional dos usuários.”
O serviço também é conhecido por empregar sites infectados de terceiros que são adicionados manualmente pelos operadores da campanha e atuam como intermediários entre o painel administrativo do invasor e o usuário. Para conseguir isso, um arquivo PHP chamado “Prometheus.Backdoor” é carregado no site comprometido para coletar e enviar de volta dados sobre a vítima, com base nos quais é tomada uma decisão quanto a enviar a carga útil para o usuário e / ou para redirecioná-los para o URL especificado.
Funcionamento do Prometheus
O esquema de ataque começa com um e-mail contendo um arquivo HTML, um link para um shell da web que redireciona os usuários para um URL específica ou um link para um Documento Google incorporado com um URL que redireciona os usuários para o link malicioso que, quando aberto ou clicado leva o destinatário ao site infectado, que furtivamente coleta informações básicas (endereço IP, agente do usuário, cabeçalho de referência, fuso horário e dados de idioma) e, em seguida, encaminha esses dados para o painel de administração do Prometheus.
Na fase final, o painel administrativo assume a responsabilidade de enviar um comando para redirecionar o usuário a um URL específico, ou enviar um documento do Microsoft Word ou Excel repleto de malware, com o usuário redirecionado para um site legítimo como DocuSign ou USPS imediatamente após baixar o arquivo para mascarar a atividade maliciosa. Além de distribuir arquivos maliciosos, os pesquisadores descobriram que o Prometheus TDS também é usado como um TDS clássico para redirecionar usuários a sites específicos, como sites VPN falsos, portais duvidosos que vendem Viagra e Cialis e sites de phishing bancário.
“O Prometheus TDS também redirecionou os usuários para sites de venda de produtos farmacêuticos”, observaram os pesquisadores. “Os operadores desses sites costumam ter programas de afiliados e parceria. Os parceiros, por sua vez, costumam recorrer a campanhas agressivas de SPAM para aumentar os ganhos dentro do programa de afiliados. A análise da infraestrutura do Prometheus por especialistas do Group-IB revelou links que redirecionam os usuários para sites relacionados a uma empresa farmacêutica canadense. “
