Prometheus TDS: Zararlı yazılım saldırılarının arkasındaki gizli servis hizmeti

Prometheus TDS: Zararlı yazılım saldırılarının arkasındaki gizli servis hizmeti
Kaynak: Group-IB

Siber güvenlik şirketi Group IB tarafından yayınlana bir araştırma raporuna göre, Prometheus TDS olarak adlandırılan bir yer alt hizmeti vasıtasıyla kötü amaçlı dosyaların dağıtıldığı, ziyaretçileri kimlik avı ve kötü amaçlı sitelere yönlendirdiği keşfedildi. Verilen bu hizmet sayesinde bir saldırgan, kötü amaçlı bir kampanya başlatmak için gerekli parametreleri Prometheus TDS yönetim paneli sayesinde yapılandırabiliyor.

Prometheus olarak adlandırılan, Ağustos 2020’den bu yanada ayda 250 ABD Doları karşılığında yeraltı platformlarında satışa sunulan bu hizmet, zararlı yazılım içeren Word ve Excel belgelerini dağıtmak, kullanıcıları kimlik avı ve kötü amaçlı sitelere yönlendirmek için tasarlanmış bir Trafik Dağıtım Sistemi(TDS) olarak geçiyor.

Prometheus TDS, kötü niyetli kampanyalar sonucu etkilenen kurbanın veya kurbanların, saldırgana ait sunucunun ifşa edilmesine ve engellenmesine neden olabileceği için doğrudan yönetim paneli ile etkileşime girmesini önlemek adına, saldırgana ait yönetim paneli ile kullanıcı arasında aracı görevi gören üçüncü taraf virüslü web siteleri kullanmışlar. Bunlarla birlike güvenliği ihlal edilmiş web sitelerin yer aldığı listenin kötü amaçlı yazılım kampanyasının operatörleri tarafından manuel olarak eklendiği de belirtiliyor.

Prometheus TDS, daha sonra güvenliği ihlal edilmiş web sitelerine ait listeyi tarayıp, ardından saldırıya uğramış bu sunuculara kendi arka kapısını yerleştiriyormuş. Bu yapıldıktan sonrada Prometheus müşterileri, saldırıya uğramış web sitelerine bağlantılar içeren e-posta spam kampanyalarını başlatmışlar. Kullanıcılar bağlantıları tıklayıp, saldırıya uğramış web sitesine girdiği zaman Prometheus arka kapısı kurbanın tarayıcı geçmişini analiz edip, daha sonra kampanya parametrelerine göre kullanıcıyı temiz bir web sayfasına veya kötü amaçlı bir dosya barındıran bir sayfaya yönlendiriyormuş.

Kaynak: Group-IB / Reklam İlanı

Bu yılın bahar aylarında tespit edilen Prometheus TDS,  siber suçluların yer aldığı forumlarında verdikleri reklamlarda:

– 2 günlük erişim için 30 Dolar
– Haftalık erişim için 100 Dolar
– 2 haftalık erişim için 150 Dolar
– Aylık erişim için 250 Dolar

karşılığında bu hizmeti sunmuşlar. Ağustos 2020’ye kadar uzanan Prometheus hizmetine ait reklamların, neredeyse bir yıldır yayında olduğu ve kötü amaçlı yazılım çeteleri tarafından kullanıldığı görülmüş. Yapılan araştırmalar neticesinde, bu hizmeti alan saldırganların Campo Loader, IcedID, QBot, SocGholish ve Buer Loader adında zararlı yazılımlar dağıttığı keşfedilmiş.

Buradan da anlaşıldığı gibi her gün rastladığımız zararlı yazılım kampanyalarının tek bir elden çıkmadığı, bu tarz saldırılar için çeşitli hizmet yada özellikleri barındıran servislere sahip birden fazla grubun birlikte çalıştığı görülmektedir.

Bunlar ilginizi çekebilir

İllegal pazar yeri platformu PopeyeTools ele geçirilip, kapatıldı

İllegal pazar yeri platformu PopeyeTools ele geçirilip, kapatıldı

Çalıntı kredi kartı numaraları ve diğer siber suçluların ihtiyaç duyduğu başka araçlarında satışını gerçekleştiren PopeyeTools adlı illegal pazar yeri platformun kurucusu iddia edilen üç kişiye yönelik suçlamalardan sonra platform, ABD Adalet Bakanlığı tarafından kapatıldı. PopeyeTools adlı yasadışı pazar yeri platformuna federal hükümet tarafından el koyulduktan sonra Afganistan uyruklu Javed Mirza

By Editor
Apple, Intel tabanlı Mac'lere yönelik kullanılan iki 0-Day için güncelleştirme duyurdu

Apple, Intel tabanlı Mac'lere yönelik kullanılan iki 0-Day için güncelleştirme duyurdu

Apple, Intel tabanlı Mac sistemlerine yönelik saldırılarda tehdit aktörleri tarafından istismar edilen iki tane sıfırıncı gün açığı (0-Day) ile ilgili acil güvenlik güncellemeleri yayınladı. Şirket tarafından yayınlanan ayrıntılara göre MacOS Sequoia'da CVE-2024-44308 olarak izlenen JavaScriptCore ve CVE-2024-44309 olarak izlenen WebKit bileşenlerinde zafiyetler yer alıyor. Bu iki zafiyette Google

By Editor
Siber tehdit istihbaratı girişimi ThreatMon, Pragma Capital Partners'tan yatırım aldı

Siber tehdit istihbaratı girişimi ThreatMon, Pragma Capital Partners'tan yatırım aldı

Siber tehdit istihbaratı alanınında çözümler sunan ThreatMon, Pragma Capital Partners'tan (PCP) yatırım aldı. Gerçekleşen yatırım ile ilgili herhangi bir finansal veri paylaşılmadı. 2018 yılında kurulan ThreatMon'un verdiği hizmetler arasında atak yüzeyi istihbaratı, siber tehdit istihbaratı, marka koruması, darkweb izleme ve tedarik zinciri gibi alanlar yer alıyor

By Editor