Herci v oblasti hrozieb zneužívali legitímny smerový systém Keitaro Traffic Direction System (TDS), aby nasmerovali návštevnosť k malvéru, ktorý tlačí súpravy využívajúce RIG a Fallout v rámci kampaní proti reklame a malspamu.
TDS je webová brána navrhnutá na použitie rôznych kritérií na presmerovanie používateľov na konkrétny online zdroj. Legitímne sa páči Keitaro inzerenti ich používajú na optimalizáciu svojich reklamných kampaní a na zacielenie na konkrétne publikum, je však známe, že ich aktéri hrozieb často využívajú na rôzne škodlivé úlohy.
Napríklad Keitaro poskytuje viac ako 20 filtrov na presné zacielenie na webovú prevádzku vrátane geografickej polohy, mobilného operátora, informácií o zariadení a prehliadači, cestovného poriadku a ďalších.
Existujú tiež špeciálne vytvorené na nelegálne účely – EITest, Seamless, Sutra, BlackOS, NinjaTDS – napríklad presmerovanie potenciálnych obetí na využitie súprav, ktoré sa ich snažia infikovať rôznymi kmeňmi škodlivého softvéru.
„Traffic Direction System (TDS) je veľmi užitočný nástroj pre útočníka, ktorý chce obmedziť distribúciu škodlivého obsahu,“ podľa do Forcepoint. „Aktér, ktorý prevádzkuje TDS, môže zabezpečiť, aby webové prehľadávače a predajcovia zabezpečenia nevideli nič škodlivého, ale skutoční používatelia prehliadača sú presmerovaní na zneužitie a škodlivý softvér.“
Využite distribúciu škodlivého softvéru zo súpravy
Ako objavili vedci v oblasti bezpečnosti v spoločnosti Forcepoint, Keitaro bol zneužívaný v kampaniach zameraných na generovanie „miliónov škodlivých zobrazení a škodlivých správ založených na adrese URL“.
Vďaka tomu bolo takmer nemožné zablokovať ho alebo ho odlíšiť od legitímneho prenosu, pretože TDS sa okrem distribúcie škodlivého softvéru používa aj na iné účely.
„Pretože Keitaro má tiež veľa legitímnych aplikácií, je často ťažké alebo nemožné jednoducho blokovať prenos prostredníctvom služby bez generovania nadmerných falošných pozitív, hoci organizácie to môžu zvážiť vo svojich vlastných politikách,“ Proofpoint uvádza správu o ohrození Q3 2019,
Keitaro bol použitý v auguste na zúženie webového prenosu do Falloutu alebo RIG EK na základe potenciálnych zraniteľností a geolokácie každého cieľa pomocou verzie prehľadávača, geografického umiestnenia, OS a platformy, ako aj mobilného operátora, keď je k dispozícii na filtrovanie.
RIG sa pokúša využiť nedostatky programu Internet ExplorerMalspamové kampane, ktoré využívali Keitaro na škodlivé účely, by nasmerovali používateľov na škodlivé weby, ktoré by ich infikovali pomocou jednej z dvoch exploitačných súprav, na škodlivé súbory používané na zníženie užitočného množstva škodlivého softvéru a raz za čas na legitímne weby.
Akonáhle sa systémy presmerovaných používateľov dostanú do kompromisu, útočníci ich infikovali celým radom kmeňov škodlivého softvéru vrátane, okrem iného, AZORult (niekedy sťahujúcich ServHelper), Predator Thief sťahovania niektorých CoinMiner, KPOT, SystemBC, Osiris, Chthonic, Vidar Stealer, Amadey. sťahovanie Danabot "40," Amadey sťahovanie Vidar, Gootkit alebo Onliner.
Prevádzkovatelia kampaní poháňaných Keitarom sledovali „trend zložitejších reťazcov útokov a presmerovaní, aby skryli svoje činnosti a využívali viaceré vektory vrátane exploitačných súprav“.
„Pokračujeme v proaktívnom monitorovaní systému Keitaro s cieľom zlepšiť okamžité zisťovanie zneužívajúcich aplikácií, prepisovať a odsudzovať adresy URL v škodlivých e-mailových kampaniach,“ uzatvára správa Forcepoint.
