Yardım TDS olarak bilinen sofistike bir trafik yön sistemi, 2017’den beri uzlaşmış web sitelerini silahlandırıyor ve meşru siteleri ayrıntılı teknoloji destek dolandırıcılığı için ağ geçitlerine dönüştürüyor.
Operasyon, şüphesiz ziyaretçileri kullanıcıları sistemlerinin tehlikeye attığına inanmak için aldatmak için tasarlanmış hileli Microsoft Windows güvenlik uyarı sayfalarına yönlendiren PHP kod şablonlarının dağıtılmasında uzmanlaşmıştır.
Kötü niyetli altyapı, gadbets gibi alanlar dahil örneklerle “/yardım/? D {14}” yönlendirmeleri kullanılarak farklı bir URL deseni ile çalışır.[.]Site/Yardım/? 29511696874942 ve radiant.growsier[.]Dükkan/Yardım/? 30721707351057.
Bu yönlendirmeler, kurbanları tam ekran tarayıcı manipülasyonu ve çıkış önleme tekniklerini kullanan sofistike aldatmaca sayfalarına yönlendirerek, kullanıcıları meşru Microsoft uyarılarını taklit eden fabrikasyon güvenlik uyarıları içinde etkili bir şekilde hapseder.
Yardım TDS, standart PHP enjeksiyon şablonları ve tam özellikli kötü niyetli WordPress eklentileri sağlayarak suç iştiraklerine hizmet olarak kapsamlı bir kötü amaçlı yazılım platformuna dönüştü.
Operasyonun erişimi, teknoloji destek aldatmaca kriterlerini karşılamayan trafik için flört, kripto para birimi ve çekiliş dolandırıcılığı gibi birden fazla para kazanma kanalında uzanır.
GodAddy araştırmacıları, sistemin dünya çapında 10.000’den fazla WordPress sitesini enfekte ettiğini ve kötü niyetli “WooCommerce_inputs” eklentisinin birincil enfeksiyon vektörü olarak hizmet ettiğini belirledi.
Kampanyanın teknik karmaşıklığı, Dollyway ve Balada enjektörü de dahil olmak üzere yerleşik kötü amaçlı yazılım operasyonlarıyla entegrasyonu ile belirginleşiyor.
.webp)
LOSPOLLOS Affiliate Network’ün bozulmasından sonra, TDS’nin kendisini baskın para kazanma platformu olarak konumlandırmasına yardımcı olun, Pinkfels aracılığıyla yeni yönlendirme altyapısının yanında yeni yönlendirme alanlarının dağıtılması için “trafik” adlı bir telgraf kanalı kullanıyor[.]Alışveriş Sunucuları.
Gelişmiş eklenti evrimi ve kalıcılık mekanizmaları
Kötü amaçlı WooCommerce_Inputs eklentisi, yardım TDS’nin teknik evriminin zirvesini temsil eder ve giderek daha sofistike yeteneklere sahip birden fazla sürümde ilerler.
.webp)
Sürüm 1.4, ziyaretçi IP adreslerini izlemek ve birden fazla yönlendirmeyi önlemek için “WP_IP_TRACKING” gibi veritabanı tabloları oluşturarak gelişmiş trafik filtreleme mekanizmalarını tanıttı.
Kötü amaçlı yazılım, Pazar günleri yönlendirmelerden kaçınarak, ABD, Kanada ve Japonya’ya odaklanan coğrafi hedefleme ve mobil trafiği görmezden gelirken sadece masaüstü bilgisayarları hedefleyen cihaz filtrelemesinden kaçınarak geçici kaçırma uygular.
Eklentinin kalıcılık stratejisi, eklenti kurulumu ve kötü niyetli etkinlik arasındaki bağlantıyı gizlemek için yönlendirmeler başlatmadan önce kurulumdan 24 saat sonra gecikmeli aktivasyon içerir.
Çerez yönetimi “yeniden yönlendirmek”Ve“ Partner_ ”tanımlayıcıları, ziyaretçilerin 24 saatlik bir süre içinde birden çok kez yönlendirilmemesini sağlayarak kurban dönüşüm oranlarını en üst düzeye çıkarırken operasyonel gizliliği koruyor.
Sürüm 2.0.0, Pinkfels’teki API uç noktaları aracılığıyla dinamik eklenti değişikliklerini sağlayan TDS komut ve kontrol altyapısı aracılığıyla Otonom güncelleme özelliklerini tanıttı[.]Mağaza/WP-Plugin.
Sistem, her kampanya tanımlayıcısı için özelleştirilmiş eklenti sürümleri oluşturur ve operasyonun sofistike altyapı yönetimini gösterir.
Tehdit aktörleri, çalınan WordPress yöneticisi kimlik bilgileri aracılığıyla başlangıç erişimini elde eder, sunucu günlükleri girişten eklenti aktivasyonuna kadar hızlı 22 saniyelik saldırı dizilerini ortaya çıkarır.
Yönlendirme mekanizması tarayıcı uyumluluğu için çift JavaScript yöntemleri kullanır: window.location.replace("https://cybersecuritynews.com/help-tds-weaponize-legitimate-sites-php-code/$redirectUrl"); window.location.href="https://cybersecuritynews.com/help-tds-weaponize-legitimate-sites-php-code/$redirectUrl"; Tarayıcı güvenlik ayarlarına bakılmaksızın güvenilir trafik yönlendirmesinin sağlanması.
Bu teknik yaklaşım, WordPress kullanıcı verilerini iki haftada bir sürdüren kimlik bilgisi hasat işlevselliği ile birleştiğinde, çalınan kimlik bilgilerinin WordPress ekosisteminde daha fazla enfeksiyonu kolaylaştırdığı kendi kendini sürdüren bir uzlaşma döngüsü oluşturur.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.