多个网络犯罪组织正在利用恶意软件即服务 (MaaS) 解决方案来分发广泛的恶意软件分发活动，从而导致部署有效负载。该恶意软件服务被称为“普罗米修斯”，是一种地下服务，旨在分发带有恶意软件的 Word 和 Excel 文档，并将用户转移到网络钓鱼和恶意网站。

据说有超过 3,000 个电子邮件地址被恶意活动挑出，其中 Prometheus TDS 被用来发送恶意电子邮件，银行和金融、零售、能源和采矿、网络安全、医疗保健、IT 和保险成为主要目标垂直领域受到攻击。

此外，该服务还使用由活动运营商手动添加的第三方受感染网站，并充当攻击者管理面板和用户之间的中间人。为了实现这一点，一个名为“ Prometheus.Backdoor ”的 PHP 文件被上传到受感染的网站，以收集和发送有关受害者的数据，根据这些数据决定是否将有效负载发送给用户和/或将它们重定向到指定的 URL。

攻击方案从一封包含 HTML 文件的电子邮件开始，一个指向将用户重定向到指定 URL 的 web shell 的链接，或者一个指向嵌入了 URL 的 Google Doc 的链接，该 URL 将用户重定向到恶意链接，当打开或clicked 将收件人引导至受感染网站，该网站会悄悄收集基本信息（IP 地址、用户代理、Referrer 标头、时区和语言数据），然后将此数据转发到 Prometheus 管理面板。

最后阶段，管理面板负责发送命令以将用户重定向到特定 URL，或发送带有恶意软件的 Microsoft Word 或 Excel 文档，然后用户立即重定向到合法站点，例如 DocuSign 或 USPS下载文件以掩盖恶意活动。除了分发恶意文件，研究人员发现 Prometheus TDS 还用作经典 TDS，将用户重定向到特定站点，例如假 VPN 网站、银行网络钓鱼站点。

Myasiacloud亞洲雲海

網路安全防禦專家  提供亞太高防資源 無上限防禦DDos/CC攻擊!!

擁有全球優質節點  中國大陸全境加速 海外加速 

詳情訪問 https://www.myasiacloud.com/clouddf    官方客服聯絡@myasiacloud66