Múltiples grupos de ciberdelincuentes están aprovechando una solución de malware como servicio (MaaS) para distribuir una amplia gama de campañas de distribución de software malicioso que dan lugar al despliegue de cargas útiles como Campo Loader, Hancitor, IcedID, QBot, Buer Loader y SocGholish contra individuos en Bélgica, así como contra organismos gubernamentales, empresas y corporaciones en los Estados Unidos.
Apodado «Prometheus» y disponible a la venta en plataformas clandestinas por 250 dólares al mes desde agosto de 2020, el servicio es un Sistema de Dirección de Tráfico (TDS) que está diseñado para distribuir documentos Word y Excel cargados de malware, y desviar a los usuarios a sitios de phishing y maliciosos, según un informe de Group-IB compartido con The Hacker News.
Se dice que más de 3.000 direcciones de correo electrónico han sido seleccionadas a través de campañas maliciosas en las que se utilizó Prometheus TDS para enviar correos electrónicos maliciosos, siendo la banca y las finanzas, el comercio minorista, la energía y la minería, la ciberseguridad, la sanidad, las TI y los seguros los sectores verticales más destacados que fueron objeto de los ataques.
«Prometheus TDS es un servicio clandestino que distribuye archivos maliciosos y redirige a los visitantes a sitios de phishing y maliciosos», dijeron los investigadores de Group-IB. «Este servicio está compuesto por el panel administrativo de Prometheus TDS, en el que un atacante configura los parámetros necesarios para una campaña maliciosa: descarga de archivos maliciosos y configuración de restricciones en la geolocalización, versión del navegador y sistema operativo de los usuarios».
También se sabe que el servicio emplea sitios web infectados de terceros que son añadidos manualmente por los operadores de la campaña y actúan como intermediarios entre el panel administrativo del atacante y el usuario. Para ello, se carga un archivo PHP llamado «Prometheus.Backdoor» en el sitio web comprometido para recoger y enviar datos sobre la víctima, en función de los cuales se decide si se envía la carga útil al usuario y/o se le redirige a la URL especificada.
El esquema de ataque comienza con un correo electrónico que contiene un archivo HTML, un enlace a un shell web que redirige a los usuarios a una URL específica, o un enlace a un documento de Google que está incrustado con una URL que redirige a los usuarios al enlace malicioso que, cuando se abre o se hace clic, lleva al destinatario al sitio web infectado, que recoge sigilosamente la información básica (dirección IP, User-Agent, encabezado Referrer, zona horaria y datos de idioma) y luego envía estos datos al panel de administración de Prometheus.
En la fase final, el panel administrativo se encarga de enviar un comando para redirigir al usuario a una URL concreta, o para enviar un documento de Microsoft Word o Excel cargado de malware, redirigiendo al usuario a un sitio legítimo como DocuSign o USPS inmediatamente después de descargar el archivo para enmascarar la actividad maliciosa. Además de distribuir archivos maliciosos, los investigadores descubrieron que Prometheus TDS también se utiliza como un TDS clásico para redirigir a los usuarios a sitios específicos, como sitios web de VPN falsos, portales dudosos que venden Viagra y Cialis, y sitios de phishing bancario.
«Prometheus TDS también redirige a los usuarios a sitios que venden productos farmacéuticos», señalaron los investigadores. «Los operadores de estos sitios suelen tener programas de afiliación y asociación. Los socios, a su vez, suelen recurrir a agresivas campañas de SPAM para aumentar las ganancias dentro del programa de afiliados». El análisis de la infraestructura de Prometheus realizado por los especialistas de Group-IB reveló enlaces que redirigen a los usuarios a sitios relacionados con una empresa farmacéutica canadiense.»
