BlackTDS maakt distributie van malware kinderlijk eenvoudig

Een nieuwe dienst helpt cybercriminelen malware te verspreiden naar slachtoffers, zonder dat zij hiervoor zelf infrastructuur hoeven op te zetten. De dienst wordt sinds december 2017 aangeboden op ondergrondse marktplaatsen en belooft detectie van malware door zowel beveiligingsonderzoekers als geautomatiseerde tools tegen te gaan.

Dit meldt het beveiligingsbedrijf Proofpoint. De dienst heeft BlackTDS en is volgens zijn makers in staat social engineering in te zetten en slachtoffers op basis van specifieke selectiecriteria door te verwijzen naar exploit kits. Hiervoor krijgen gebruikers onder andere toegang tot verse domeinnamen met SSL-certificaat en een schone reputatie die zij kunnen gebruiken om malware te verspreiden. Malware kan echter ook worden verspreid via malafide advertenties of spamberichten. Tegelijkertijd zou BlackTDS detectie door zowel beveiligingsonderzoekers als sandboxen tegengaan.

BlackTDS verzorgt distributie van a tot z

Aanvallers wordt veel werk uit handen genomen. Indien zij gebruik maken van de dienst hoeven zij volgens de makers uitsluitend aan te geven welke malware of exploit kit zij willen verspreiden. BlackTDS verzorgt vervolgens de volledige distributie van de malware. Proofpoint geeft aan BlackTDS inmiddels meerdere malen in het 'wild' te zijn tegengekomen, waarbij onder andere malware werd verspreid via valse software-updates en social engineering-aanvallen.

Het gaat om een betaalde dienst, die voor 6 dollar per dag, 45 dollar per 10 dagen of 90 dollar per maand wordt aangeboden. Potentiële klanten kunnen BlackTDS gedurende een periode van drie dagen gratis uitproberen.

Aanvallers zijn moeilijk te identificeren

Proofpoint meldt dat het dankzij een favicon waarvan BlackTDS standaard gebruik maakt relatief eenvoudig is websites die door BlackTDS worden misbruikt te herkennen. Het blijkt echter moeilijk en in sommige gevallen zelfs onmogelijk het aanvalsverkeer te koppelen aan een specifieke gebruiker van BlackTDS.

Bij een grootschalige spamcampagne die op 19 februari van start ging lukte dit echter wel. Gedurende deze campagne zijn grote hoeveelheden spamberichten verstuurd met een malafide PDF-bestand als bijlage. Dit bestand bevat verwijzingen naar websites, waarbij BlackTDS wordt ingezet om malware naar slachtoffers te misbruiken. Deze aanval is door Proofpoint gekoppeld aan TA505, een aanvaller die zich naar verluid doorgaans bezig houdt met de grootschalige verspreiding van ransomware en banking trojans. Proofpoint noemt het dan ook opvallend dat TA505 in dit geval heeft gekozen malware te verspreiden via BlackTDS.

Toenemende volwassenheid

Proofpoint stelt diensten als BlackTDS steeds vaker tegen te komen. Dergelijke diensten maken de drempel voor het verspreiden van malware lager, aangezien cybercriminelen dit proces met behulp van diensten als BlackTDS nagenoeg geheel kunnen automatiseren. Met ondersteuning voor social engineering en de mogelijkheid malware direct te verspreiden naar slachtoffers of hen door te verwijzen naar landingspagina's waar exploit kits worden verspreid illustreert BlackTDS volgens Proofpoint de toenemende volwassenheid van dergelijke diensten.

Meer informatie is beschikbaar in een blogpost die Proofpoint over BlackTDS heeft gepubliceerd.