Nieuwe dienst automatiseert de distributie van malware
Een nieuwe dienst helpt cybercriminelen malware te verspreiden naar slachtoffers, zonder dat zij hiervoor zelf infrastructuur hoeven op te zetten. De dienst wordt sinds december 2017 aangeboden op ondergrondse marktplaatsen en belooft detectie van malware door zowel beveiligingsonderzoekers als geautomatiseerde tools tegen te gaan.
Dit meldt het beveiligingsbedrijf Proofpoint. De dienst heeft BlackTDS en is volgens zijn makers in staat social engineering in te zetten en slachtoffers op basis van specifieke selectiecriteria door te verwijzen naar exploit kits. Hiervoor krijgen gebruikers onder andere toegang tot verse domeinnamen met SSL-certificaat en een schone reputatie die zij kunnen gebruiken om malware te verspreiden. Malware kan echter ook worden verspreid via malafide advertenties of spamberichten. Tegelijkertijd zou BlackTDS detectie door zowel beveiligingsonderzoekers als sandboxen tegengaan.
BlackTDS verzorgt distributie van a tot z
Aanvallers wordt veel werk uit handen genomen. Indien zij gebruik maken van de dienst hoeven zij volgens de makers uitsluitend aan te geven welke malware of exploit kit zij willen verspreiden. BlackTDS verzorgt vervolgens de volledige distributie van de malware. Proofpoint geeft aan BlackTDS inmiddels meerdere malen in het 'wild' te zijn tegengekomen, waarbij onder andere malware werd verspreid via valse software-updates en social engineering-aanvallen.
Het gaat om een betaalde dienst, die voor 6 dollar per dag, 45 dollar per 10 dagen of 90 dollar per maand wordt aangeboden. Potentiële klanten kunnen BlackTDS gedurende een periode van drie dagen gratis uitproberen.
Aanvallers zijn moeilijk te identificeren
Proofpoint meldt dat het dankzij een favicon waarvan BlackTDS standaard gebruik maakt relatief eenvoudig is websites die door BlackTDS worden misbruikt te herkennen. Het blijkt echter moeilijk en in sommige gevallen zelfs onmogelijk het aanvalsverkeer te koppelen aan een specifieke gebruiker van BlackTDS.
Bij een grootschalige spamcampagne die op 19 februari van start ging lukte dit echter wel. Gedurende deze campagne zijn grote hoeveelheden spamberichten verstuurd met een malafide PDF-bestand als bijlage. Dit bestand bevat verwijzingen naar websites, waarbij BlackTDS wordt ingezet om malware naar slachtoffers te misbruiken. Deze aanval is door Proofpoint gekoppeld aan TA505, een aanvaller die zich naar verluid doorgaans bezig houdt met de grootschalige verspreiding van ransomware en banking trojans. Proofpoint noemt het dan ook opvallend dat TA505 in dit geval heeft gekozen malware te verspreiden via BlackTDS.
Toenemende volwassenheid
Proofpoint stelt diensten als BlackTDS steeds vaker tegen te komen. Dergelijke diensten maken de drempel voor het verspreiden van malware lager, aangezien cybercriminelen dit proces met behulp van diensten als BlackTDS nagenoeg geheel kunnen automatiseren. Met ondersteuning voor social engineering en de mogelijkheid malware direct te verspreiden naar slachtoffers of hen door te verwijzen naar landingspagina's waar exploit kits worden verspreid illustreert BlackTDS volgens Proofpoint de toenemende volwassenheid van dergelijke diensten.
Meer informatie is beschikbaar in een blogpost die Proofpoint over BlackTDS heeft gepubliceerd.
Meer over
Lees ook
Des pirates détournent les données médicales de dizaines de millions d'Américains
Des pirates viennent à nouveau de mettre la main sur d'énormes quantités de données personnelles. En effet, des cybercriminels se sont introduits par effraction chez Anthem, l'un des plus gros assureurs médicaux des Etats-Unis pour y dérober les données clients de dizaines de millions d'Américains. Anthem a reconnu cette cyberattaque dans une déclaration. Des pirates se seraient introduits dans les systèmes IT de l'assureur pour y copier des informations personnelles de dizaines de millions de clients. Il s'agit notamment de noms, dates de naissance, numéros de sécurité sociale, ID médicales,1
Facebook lanceert platform om informatie over cybercrime uit te wisselen
Facebook wil bedrijven helpen cyberaanvallen effectiever en efficiënter aan te pakken door een platform op te zetten voor het delen van informatie over cybermisdaad. Bedrijven kunnen allerlei data over cyberaanvallen waarmee zij zijn geconfronteerd delen met andere bedrijven, die deze data kunnen inzetten om cyberaanvallen eerder op te sporen en beter aan te kunnen pakken. Het nieuwe platform heet ThreatExchange. Bedrijven die doelwit worden van cybercriminelen, kunnen data die zij over de aanval verzamelen op het platform delen met andere bedrijven. Denk hierbij aan malafide URL’s die worden1
‘Veel cybercriminelen beginnen met digitale diefstallen in games’
Hoe ontstaan eigenlijk cybercriminelen? Cybercriminelen die zich bezig houden met serieuze cybercriminaliteit blijken in de praktijk vaak te zijn begonnen bij kleinschalige digitale diefstallen in met name online games. Vanaf deze relatief onschuldige misdaden groeien de aanvallers door tot volleerde cybercriminelen, die veel schade kunnen veroorz1