hackers exploitent Prometheus TDS pour mener des cyberattaques

Des hackers exploitent Prometheus TDS pour mener des cyberattaques

Plusieurs groupes de cybercriminels exploitent Prometheus TDS, un service underground distribuant plusieurs familles de Malware pour déployer des charges utiles comme Campo Loader, Hancitor, IcedID, QBot, Buer Loader et SocGholish contre des particuliers en Belgique. Les attaques visent également des agences gouvernementales, des entreprises et des sociétés aux États-Unis.

Distribuer des documents Word et Excel contenant des malware

Le service est un système de direction du trafic (TDS) conçu pour distribuer des documents Word et Excel contenant des logiciels malveillants et détourner les utilisateurs vers des sites de phishing et malveillants. Surnommé Prometheus, celui-ci est disponible à la vente sur des plateformes underground pour 250 dollars par mois depuis août 2020. Plus de 3 000 adresses e-mail auraient été identifiées via des campagnes malveillantes dans lesquelles Prometheus TDS a été utilisé.

Prometheus TDS est un service underground qui distribue des fichiers malveillants et redirige les visiteurs vers des sites de phishing et malveillants. Ce service est composé du panneau d’administration Prometheus TDS, dans lequel un attaquant configure les paramètres nécessaires à une campagne malveillante : téléchargement de fichiers malveillants, configuration des restrictions sur la géolocalisation des utilisateurs, configuration de la version du navigateur et du système d’exploitation.

Utiliser des sites web infectés par des tiers

Le service est également connu pour utiliser des sites web infectés par des tiers. Ceux-ci sont ajoutés manuellement par les opérateurs de la campagne et servent d’intermédiaire entre le panneau d’administration de l’attaquant et l’utilisateur. Pour ce faire, un fichier PHP nommé Prometheus.Backdoor est téléchargé sur le site web compromis pour collecter et renvoyer des données sur la victime. Suite à quoi,  une décision est prise quant à l’envoi de la charge utile à l’utilisateur et/ou à la redirection vers l’URL spécifiée.

hackers exploitent Prometheus TDS pour mener des cyberattaques

Le schéma d’attaque commence par un e-mail contenant un fichier HTML, un lien vers un shell web qui redirige les utilisateurs vers une URL spécifiée, ou un lien vers un document Google intégré. Ce dernier contient une URL qui redirige les utilisateurs vers le lien malveillant. Une fois ouvert ou cliqué, ce lien dirige le destinataire vers le site web infecté qui collecte furtivement des informations de base (adresse IP, agent utilisateur, en-tête de référent, fuseau horaire et données de langue). Le site transmet ensuite ces données au panneau d’administration Prometheus.

Prometheus utilisé comme TDS classique 

Outre la distribution de fichiers malveillants, les chercheurs ont découvert que Prometheus TDS est également utilisé comme TDS classique pour rediriger les utilisateurs vers des sites spécifiques. Il peut s’agir de faux sites VPN, des portails douteux vendant du Viagra et du Cialis ou encore des sites de phishing bancaires. Les chercheurs ont effectivement noté que Prometheus TDS a redirigé les utilisateurs vers des sites vendant des produits pharmaceutiques.

Les opérateurs de ces sites ont souvent des programmes d’affiliation et de partenariat. Les partenaires, à leur tour, ont souvent recours à des campagnes de SPAM agressives afin d’augmenter les revenus au sein du programme d’affiliation. L’analyse de l’infrastructure Prometheus par les spécialistes de Group-IB a révélé des liens qui redirigent les utilisateurs vers des sites relatifs à une société pharmaceutique canadienne.

Pin It on Pinterest