Các tác nhân đe dọa đã lạm dụng Hệ thống chỉ đường giao thông Keitaro (TDS) hợp pháp để hướng lưu lượng truy cập đến phần mềm độc hại đẩy bộ dụng cụ khai thác RIG và Fallout như một phần của cả chiến dịch quảng cáo độc hại và malspam.
TDS là một cổng dựa trên web được thiết kế để sử dụng các tiêu chí khác nhau để chuyển hướng người dùng đến một tài nguyên trực tuyến cụ thể. Những người hợp pháp như Keitaro được các nhà quảng cáo sử dụng để tối ưu hóa các chiến dịch quảng cáo của họ và nhắm mục tiêu các đối tượng cụ thể nhưng cũng được biết là thường được các tác nhân đe dọa tận dụng cho các nhiệm vụ độc hại khác nhau.
Chẳng hạn, Keitaro cung cấp hơn 20 bộ lọc để nhắm mục tiêu lưu lượng truy cập web chính xác, bao gồm định vị địa lý, nhà điều hành di động, thông tin về thiết bị và trình duyệt, thời gian biểu và hơn thế nữa.
Ngoài ra còn có những thứ được tạo riêng để sử dụng cho mục đích bất hợp pháp. EITest, Dàn, Kinh, BlackOS, NinjaTDS, giống như chuyển hướng các nạn nhân tiềm năng để khai thác các bộ dụng cụ cố gắng lây nhiễm chúng với các chủng phần mềm độc hại khác nhau.
"Hệ thống chỉ đường giao thông (TDS) là một công cụ rất hữu ích cho kẻ tấn công muốn hạn chế phân phối nội dung độc hại". theo để Forcepoint. "Một diễn viên chạy TDS có thể đảm bảo rằng trình thu thập dữ liệu web và nhà cung cấp bảo mật không thể thấy bất cứ điều gì độc hại, nhưng người dùng duyệt thực sự được chuyển hướng để khai thác và phần mềm độc hại."
Khai thác bộ phân phối phần mềm độc hại
Khi các nhà nghiên cứu bảo mật tại Forcepoint phát hiện ra, Keitaro đã bị lạm dụng trong các chiến dịch được thiết kế để tạo ra "hàng triệu lượt hiển thị quảng cáo độc hại và tin nhắn độc hại dựa trên URL".
Điều này khiến cho việc chặn hoặc phân biệt nó với lưu lượng truy cập hợp pháp gần như không thể vì TDS cũng được sử dụng cho các mục đích khác ngoài phân phối phần mềm độc hại.
"Bởi vì Keitaro cũng có nhiều ứng dụng hợp pháp, thường rất khó hoặc không thể đơn giản là chặn lưu lượng truy cập thông qua dịch vụ mà không tạo ra các thông tin sai lệch quá mức, mặc dù các tổ chức có thể xem xét điều này trong chính sách của mình." Báo cáo Đe dọa quý 3 năm 2019 của Proofpoint cho biết.
Keitaro đã được sử dụng vào tháng 8 để chuyển lưu lượng truy cập web sang Fallout hoặc RIG EK dựa trên các lỗ hổng tiềm năng và định vị địa lý của từng mục tiêu, sử dụng phiên bản trình duyệt, vị trí địa lý, HĐH và nền tảng, cũng như nhà cung cấp dịch vụ di động khi có sẵn để lọc.
RIG cố gắng khai thác lỗ hổng Internet ExplorerCác chiến dịch malspam đã thúc đẩy Keitaro cho các mục đích bất chính sẽ chuyển hướng người dùng đến các trang web quảng cáo độc hại sẽ lây nhiễm cho họ bằng một trong hai bộ công cụ khai thác, đến các tệp độc hại được sử dụng để giảm tải phần mềm độc hại và thỉnh thoảng, đến các trang web hợp pháp.
Khi các hệ thống người dùng được chuyển hướng bị xâm nhập, những kẻ tấn công đã nhiễm chúng với một loạt các loại phần mềm độc hại bao gồm nhưng không giới hạn ở AZORult (đôi khi tải xuống ServHelper), Predator the Thief tải xuống một số CoinMiner, KPOT, SystemBC, Osiris, Chthonic, Vidar Stealer, Amadey tải xuống Danabot "40", Amadey tải xuống Vidar, Gootkit hoặc Onliner.
Các nhà khai thác đằng sau các chiến dịch do Keitaro cung cấp theo "xu hướng của các chuỗi tấn công và chuyển hướng phức tạp hơn để che giấu các hoạt động của họ và khai thác nhiều vectơ, bao gồm cả bộ dụng cụ khai thác".
"Chúng tôi tiếp tục chủ động giám sát Keitaro để cải thiện phát hiện ngay lập tức các ứng dụng lạm dụng, viết lại và lên án URL trong các chiến dịch email độc hại", báo cáo của Forcepoint kết luận.
