Alerta por nueva forma de compartir malware

Otra oferta de ciberdelincuencia como servicio facilita a los presuntos delincuentes la realización de campañas de malware a gran escala.

Llamado BlackTDS, el servicio reduce aún más el número de posibles ciberdelincuentes, lo que permite a quienes carecen de los conocimientos técnicos necesarios instruir a los responsables de los servicios para que lleven a cabo campañas de spam altamente escalables y potencialmente masivas y campañas publicitarias maliciosas en su nombre.

Los servicios incluyen el alojamiento y la configuración de los componentes de un sofisticado ataque drive-by, además del soporte de ingeniería social y la flexibilidad para distribuir malware directamente o simplemente redirigir a las víctimas para explotar las páginas de destino de los kits.

“El bajo costo, la facilidad de acceso y el anonimato relativo de BlackTDS reducen las barreras de entrada a la distribución de malware basada en la Web”, dijeron los investigadores de la empresa de seguridad Proofpoint, que detalló la campaña.

Los responsables de BlackTDS han estado anunciando sus servicios en los mercados subterráneos desde diciembre de 2017, ofreciendo sus servicios con el propósito de manejar la ingeniería social y la redirección para explotar los kits, mientras que también afirman prevenir la detección por parte de los investigadores de seguridad cibernética y las herramientas del arenero.

Los anuncios describen a BlackTDS como una oferta de “soluciones preparadas para el tráfico web oscuro” capaz de utilizar la inyección de código en sitios web pirateados, así como de afirmar que el usuario no necesita tener su propio servidor para recibir tráfico, lo que significa que el servicio está abierto incluso a delincuentes de bajo nivel.

“BlackTDS no sólo maneja el filtrado y la redirección, sino que también aloja plantillas de ingeniería social -como las actualizaciones de Flash falsas- que se pueden usar para engañar a los usuarios para que hagan clic, descarguen e instalen malware”, dijo Kevin Epstein, vicepresidente del Centro de Operaciones de Amenaza de Proofpoint a ZDNet.

En muchos casos, el código malicioso se entrega a las víctimas a través de actualizaciones de software falsas que pretenden ser Java, Flash, paquetes de fuentes y más, así como otros esquemas de ingeniería social donde se anima a los usuarios a descargar actualizaciones falsas que luego comprometen el sistema.

Mientras que BlackTDS abre las campañas de “drive-by” a los actores de bajo nivel, Proofpoint descubrió una campaña masiva a mediados de febrero que parecía estar operando en nombre del TA505, un prolífico grupo de piratas informáticos que anteriormente se sabía que se ocupaba de los troyanos bancarios de Dridex, Locky ransomware, Jaff ransomware, y más.

Sin embargo, en este caso, TA505 ha utilizado BlackTDS para llevar a cabo una campaña masiva de spam que está configurada para dirigirse a un sitio web que afirma vender productos farmacéuticos de descuento, algo que los investigadores describen como “una salida inusual para el grupo generalmente centrado en campañas de alto volumen de malware”.

También demuestra que a pesar de que el BlackTDS se anuncia predominantemente como un servicio de bajo costo y fácil acceso, los grupos sofisticados están más que dispuestos a comprar esquemas de “como un servicio” si esto ayuda a promover sus objetivos.

Artículos relacionados

Los comentarios están cerrados.