Prometheus TDS: Zararlı yazılım saldırılarının arkasındaki gizli servis hizmeti

Siber güvenlik şirketi Group IB tarafından yayınlana bir araştırma raporuna göre, Prometheus TDS olarak adlandırılan bir yer alt hizmeti vasıtasıyla kötü amaçlı dosyaların dağıtıldığı, ziyaretçileri kimlik avı ve kötü amaçlı sitelere yönlendirdiği keşfedildi. Verilen bu hizmet sayesinde bir saldırgan, kötü amaçlı bir kampanya başlatmak için gerekli parametreleri Prometheus TDS yönetim paneli sayesinde yapılandırabiliyor.

Prometheus olarak adlandırılan, Ağustos 2020’den bu yanada ayda 250 ABD Doları karşılığında yeraltı platformlarında satışa sunulan bu hizmet, zararlı yazılım içeren Word ve Excel belgelerini dağıtmak, kullanıcıları kimlik avı ve kötü amaçlı sitelere yönlendirmek için tasarlanmış bir Trafik Dağıtım Sistemi(TDS) olarak geçiyor.

Prometheus TDS, kötü niyetli kampanyalar sonucu etkilenen kurbanın veya kurbanların, saldırgana ait sunucunun ifşa edilmesine ve engellenmesine neden olabileceği için doğrudan yönetim paneli ile etkileşime girmesini önlemek adına, saldırgana ait yönetim paneli ile kullanıcı arasında aracı görevi gören üçüncü taraf virüslü web siteleri kullanmışlar. Bunlarla birlike güvenliği ihlal edilmiş web sitelerin yer aldığı listenin kötü amaçlı yazılım kampanyasının operatörleri tarafından manuel olarak eklendiği de belirtiliyor.

Prometheus TDS, daha sonra güvenliği ihlal edilmiş web sitelerine ait listeyi tarayıp, ardından saldırıya uğramış bu sunuculara kendi arka kapısını yerleştiriyormuş. Bu yapıldıktan sonrada Prometheus müşterileri, saldırıya uğramış web sitelerine bağlantılar içeren e-posta spam kampanyalarını başlatmışlar. Kullanıcılar bağlantıları tıklayıp, saldırıya uğramış web sitesine girdiği zaman Prometheus arka kapısı kurbanın tarayıcı geçmişini analiz edip, daha sonra kampanya parametrelerine göre kullanıcıyı temiz bir web sayfasına veya kötü amaçlı bir dosya barındıran bir sayfaya yönlendiriyormuş.

Bu yılın bahar aylarında tespit edilen Prometheus TDS,  siber suçluların yer aldığı forumlarında verdikleri reklamlarda:

– 2 günlük erişim için 30 Dolar
– Haftalık erişim için 100 Dolar
– 2 haftalık erişim için 150 Dolar
– Aylık erişim için 250 Dolar

karşılığında bu hizmeti sunmuşlar. Ağustos 2020’ye kadar uzanan Prometheus hizmetine ait reklamların, neredeyse bir yıldır yayında olduğu ve kötü amaçlı yazılım çeteleri tarafından kullanıldığı görülmüş. Yapılan araştırmalar neticesinde, bu hizmeti alan saldırganların Campo Loader, IcedID, QBot, SocGholish ve Buer Loader adında zararlı yazılımlar dağıttığı keşfedilmiş.

Buradan da anlaşıldığı gibi her gün rastladığımız zararlı yazılım kampanyalarının tek bir elden çıkmadığı, bu tarz saldırılar için çeşitli hizmet yada özellikleri barındıran servislere sahip birden fazla grubun birlikte çalıştığı görülmektedir.