利用 Prometheus TDS 恶意软件服务的各种网络攻击

多个网络犯罪组织正在利用恶意软件即服务 (MaaS) 解决方案来分发广泛的恶意软件分发活动，从而导致部署攻击载荷，例如 Campo Loader、Hancitor、IcedID、QBot、Buer Loader等。

该服务被称为“ Prometheus TDS ”（Traffic Direction System 的缩写），自 2020 年 8 月起在地下平台上以每月 250 美元的价格出售，该服务旨在分发带有恶意软件的 Word 和 Excel 文档，并将用户转移到网络钓鱼和恶意站点。

据说有超过 3,000 个电子邮件地址被恶意活动挑出，其中 Prometheus TDS 被用来发送恶意电子邮件，银行和金融、零售、能源和采矿、网络安全、医疗保健、IT 和保险成为主要目标垂直领域受到攻击。

“Prometheus TDS 是一种地下服务，它分发恶意文件并将访问者重定向到网络钓鱼和恶意站点，”Group-IB 研究人员说。“该服务由 Prometheus TDS 管理面板组成，攻击者在其中配置恶意活动所需的参数：下载恶意文件，以及配置对用户地理位置、浏览器版本和操作系统的限制。”

众所周知，该服务还使用由活动运营商手动添加的第三方受感染网站，并充当攻击者管理面板和用户之间的中间人。为了实现这一点，一个名为“ Prometheus.Backdoor ”的 PHP 文件被上传到受感染的网站，以收集和发送有关受害者的数据，根据这些数据决定是否将有效负载发送给用户和/或将它们重定向到指定的 URL。

攻击方案从一封包含 HTML 文件的电子邮件开始，一个指向将用户重定向到指定 URL 的 web shell 的链接，或者一个指向嵌入了 URL 的 Google Doc 的链接，该 URL 将用户重定向到恶意链接，当打开或clicked 将收件人引导至受感染网站，该网站会悄悄收集基本信息（IP 地址、用户代理、Referrer 标头、时区和语言数据），然后将此数据转发到 Prometheus 管理面板。

在最后阶段，管理面板负责发送命令以将用户重定向到特定 URL，或发送带有恶意软件的 Microsoft Word 或 Excel 文档，然后用户立即重定向到合法站点，例如 DocuSign 或 USPS下载文件以掩盖恶意活动。除了分发恶意文件，研究人员发现 Prometheus TDS 还用作经典 TDS，将用户重定向到特定站点，例如假 VPN 网站、销售伟哥和 Cialis 的可疑门户以及银行网络钓鱼站点。

“Prometheus TDS 还将用户重定向到销售药品的网站，”研究人员指出。“此类网站的运营商通常有附属和合作伙伴计划。反过来，合作伙伴往往采取积极的垃圾邮件活动，以增加附属计划中的收入。Group-IB 专家对 Prometheus 基础设施的分析揭示了将用户重定向到与一家加拿大制药公司有关的网站。”