Εγκληματίες του κυβερνοχώρου παραβίασαν την νόμιμη TDS (Traffic Direction System) πλατφόρμα Keitaro και τη χρησιμοποίησαν για να ανακατευθύνουν τους χρήστες στα exploit kits RIG και Fallout με σκοπό να τους μολύνουν με κακόβουλο λογισμικό.
Οι πλατφόρμες TDS έχουν σχεδιαστεί για την ανακατεύθυνση των χρηστών σε συγκεκριμένα sites. Οι νόμιμες πλατφόρμες TDS, όπως η Keitaro, χρησιμοποιούνται κυρίως από άτομα και εταιρείες που θέλουν να διαφημίσουν τις υπηρεσίες ή τα προϊόντα τους. Οι πλατφόρμες οδηγούν τους χρήστες σε σελίδες που θέλουν οι εταιρείες κι έτσι επιτυγχάνεται η στόχευση συγκεκριμένων πελατών και προωθείται μια διαφημιστική καμπάνια.
Η πλατφόρμα Keitaro, για παράδειγμα, χρησιμοποιεί περισσότερα από 20 φίλτρα για την ακριβή στόχευση χρηστών (π.χ. γεωγραφική τοποθεσία, πληροφορίες συσκευής, πληροφορίες για τον browser και πολλά άλλα).
Ωστόσο, οι πλατφόρμες αυτές μπορούν να χρησιμοποιηθούν και από hackers για κακούς σκοπούς.
Υπάρχουν, μάλιστα, κάποιες που είναι ειδικά σχεδιασμένες για παράνομους σκοπούς (π.χ. EITest, Seamless, Sutra, BlackOS, NinjaTDS). Αυτές οι TDS πλατφόρμες ανακατευθύνουν τα πιθανά θύματα σε exploit kits που προσπαθούν να τους μολύνουν με malware.
“Οι TDS πλατφόρμες είναι ένα πολύ χρήσιμο εργαλείο για έναν επιτιθέμενο που επιθυμεί να περιορίσει τη διανομή κακόβουλου περιεχομένου”, δήλωσαν ερευνητές της Proofpoint. “Ένας επιτιθέμενος που χρησιμοποιεί TDS μπορεί να διασφαλίσει ότι οι ανιχνευτές και οι ερευνητές ασφαλείας δεν βλέπουν τίποτα κακόβουλο, αλλά οι πραγματικοί χρήστες ανακατευθύνονται σε exploits και κακόβουλα προγράμματα».
Διανομή κακόβουλου λογισμικού
Οι ερευνητές της Proofpoint ανακάλυψαν ότι κάποιοι hackers παραβίασαν την πλατφόρμα Keitaro και τη χρησιμοποίησαν για την πραγματοποίηση malvertising και malspam εκστρατειών.
Η χρήση μιας νόμιμης TDS πλατφόρμας κατέστησε δύσκολο τον εντοπισμό της παράνομης δραστηριότητας αλλά και το μπλοκάρισμα των ανακατευθύνσεων.
Η Keitaro χρησιμοποιήθηκε τον Αύγουστο για την ανακατεύθυνση των χρηστών στο Fallout ή στο RIG exploit kit ανάλογα με τις πιθανές ευπάθειες και τη γεωγραφική θέση κάθε στόχου, καθώς και με βάση διάφορα άλλα κριτήρια.
Στόχος των hackers ήταν η ανακατεύθυνση των χρηστών: 1) σε malvertising sites που τους μόλυναν χρησιμοποιώντας ένα από τα δύο exploit kits, 2) σε κακόβουλα αρχεία που εγκαθιστούν κακόβουλα προγράμματα. Στο τέλος, τους οδηγούσαν και σε νόμιμα sites.
Τα συστήματα των θυμάτων μολύνθηκαν με διάφορα κακόβουλα προγράμματα, όπως τα AZORult, Predator the Thief, CoinMiner, KPOT, SystemBC, Osiris, Chthonic, Vidar Stealer, Amadey, Danabot “40”, Vidar, Gootkit ή Onliner.
Οι επιτιθέμενοι που εκμεταλλεύτηκαν την TDS πλατφόρμα Keitaro κινήθηκαν έξυπνα, αφού εκμεταλλεύτηκαν μια νόμιμη πλατφόρμα για να μην μπορούν να ανιχνευτούν εύκολα οι κακόβουλες δραστηριότητές τους.
Οι ερευνητές συνεχίζουν να παρακολουθούν την πλατφόρμα Keitaro.
 πλατφόρμα Keitaro και τη χρησιμοποίησαν για να){kind=link}