多个网络犯罪组织正在利用恶意软件即服务 (MaaS) 解决方案来分发广泛的恶意软件分发活动,从而导致部署有效负载。该恶意软件服务被称为“普罗米修斯”,是一种地下服务,旨在分发带有恶意软件的 Word 和 Excel 文档,并将用户转移到网络钓鱼和恶意网站。
据说有超过 3,000 个电子邮件地址被恶意活动挑出,其中 Prometheus TDS 被用来发送恶意电子邮件,银行和金融、零售、能源和采矿、网络安全、医疗保健、IT 和保险成为主要目标垂直领域受到攻击。
此外,该服务还使用由活动运营商手动添加的第三方受感染网站,并充当攻击者管理面板和用户之间的中间人。为了实现这一点,一个名为“ Prometheus.Backdoor ”的 PHP 文件被上传到受感染的网站,以收集和发送有关受害者的数据,根据这些数据决定是否将有效负载发送给用户和/或将它们重定向到指定的 URL。
攻击方案从一封包含 HTML 文件的电子邮件开始,一个指向将用户重定向到指定 URL 的 web shell 的链接,或者一个指向嵌入了 URL 的 Google Doc 的链接,该 URL 将用户重定向到恶意链接,当打开或clicked 将收件人引导至受感染网站,该网站会悄悄收集基本信息(IP 地址、用户代理、Referrer 标头、时区和语言数据),然后将此数据转发到 Prometheus 管理面板。
最后阶段,管理面板负责发送命令以将用户重定向到特定 URL,或发送带有恶意软件的 Microsoft Word 或 Excel 文档,然后用户立即重定向到合法站点,例如 DocuSign 或 USPS下载文件以掩盖恶意活动。除了分发恶意文件,研究人员发现 Prometheus TDS 还用作经典 TDS,将用户重定向到特定站点,例如假 VPN 网站、银行网络钓鱼站点。
Myasiacloud亞洲雲海
網路安全防禦專家 提供亞太高防資源 無上限防禦DDos/CC攻擊!!
擁有全球優質節點 中國大陸全境加速 海外加速
詳情訪問 https://www.myasiacloud.com/clouddf 官方客服聯絡@myasiacloud66