BlackTDS maakt distributie van malware kinderlijk eenvoudig

malware

Een nieuwe dienst helpt cybercriminelen malware te verspreiden naar slachtoffers, zonder dat zij hiervoor zelf infrastructuur hoeven op te zetten. De dienst wordt sinds december 2017 aangeboden op ondergrondse marktplaatsen en belooft detectie van malware door zowel beveiligingsonderzoekers als geautomatiseerde tools tegen te gaan.

Dit meldt het beveiligingsbedrijf Proofpoint. De dienst heeft BlackTDS en is volgens zijn makers in staat social engineering in te zetten en slachtoffers op basis van specifieke selectiecriteria door te verwijzen naar exploit kits. Hiervoor krijgen gebruikers onder andere toegang tot verse domeinnamen met SSL-certificaat en een schone reputatie die zij kunnen gebruiken om malware te verspreiden. Malware kan echter ook worden verspreid via malafide advertenties of spamberichten. Tegelijkertijd zou BlackTDS detectie door zowel beveiligingsonderzoekers als sandboxen tegengaan.

BlackTDS verzorgt distributie van a tot z

Aanvallers wordt veel werk uit handen genomen. Indien zij gebruik maken van de dienst hoeven zij volgens de makers uitsluitend aan te geven welke malware of exploit kit zij willen verspreiden. BlackTDS verzorgt vervolgens de volledige distributie van de malware. Proofpoint geeft aan BlackTDS inmiddels meerdere malen in het 'wild' te zijn tegengekomen, waarbij onder andere malware werd verspreid via valse software-updates en social engineering-aanvallen.

Het gaat om een betaalde dienst, die voor 6 dollar per dag, 45 dollar per 10 dagen of 90 dollar per maand wordt aangeboden. Potentiële klanten kunnen BlackTDS gedurende een periode van drie dagen gratis uitproberen.

Aanvallers zijn moeilijk te identificeren

Proofpoint meldt dat het dankzij een favicon waarvan BlackTDS standaard gebruik maakt relatief eenvoudig is websites die door BlackTDS worden misbruikt te herkennen. Het blijkt echter moeilijk en in sommige gevallen zelfs onmogelijk het aanvalsverkeer te koppelen aan een specifieke gebruiker van BlackTDS.

Bij een grootschalige spamcampagne die op 19 februari van start ging lukte dit echter wel. Gedurende deze campagne zijn grote hoeveelheden spamberichten verstuurd met een malafide PDF-bestand als bijlage. Dit bestand bevat verwijzingen naar websites, waarbij BlackTDS wordt ingezet om malware naar slachtoffers te misbruiken. Deze aanval is door Proofpoint gekoppeld aan TA505, een aanvaller die zich naar verluid doorgaans bezig houdt met de grootschalige verspreiding van ransomware en banking trojans. Proofpoint noemt het dan ook opvallend dat TA505 in dit geval heeft gekozen malware te verspreiden via BlackTDS.

Toenemende volwassenheid

Proofpoint stelt diensten als BlackTDS steeds vaker tegen te komen. Dergelijke diensten maken de drempel voor het verspreiden van malware lager, aangezien cybercriminelen dit proces met behulp van diensten als BlackTDS nagenoeg geheel kunnen automatiseren. Met ondersteuning voor social engineering en de mogelijkheid malware direct te verspreiden naar slachtoffers of hen door te verwijzen naar landingspagina's waar exploit kits worden verspreid illustreert BlackTDS volgens Proofpoint de toenemende volwassenheid van dergelijke diensten.

Meer informatie is beschikbaar in een blogpost die Proofpoint over BlackTDS heeft gepubliceerd.

Lees ook
Succesvolle cyberincidenten vaak veroorzaakt door misbruik  monitoring- en beheersoftware

Succesvolle cyberincidenten vaak veroorzaakt door misbruik monitoring- en beheersoftware

Bijna een derde (30%) van de cyberaanvallen die in 2019 door het Kaspersky Global Emergency Response-team werden onderzocht, gebeurde via legitieme instrumenten voor beheer en administratie op afstand. Hierdoor kunnen aanvallers langer onopgemerkt blijven. Zo hadden continue cyberspionage-aanvallen en diefstal van vertrouwelijke gegevens een mediaanduur...

Netskope rapporteert stijging van 161 procent in bezoeken aan risicovolle apps en websites tijdens piek in thuiswerken

Netskope rapporteert stijging van 161 procent in bezoeken aan risicovolle apps en websites tijdens piek in thuiswerken

Netskope Cloud and Threat Report laat grote verschuiving in gebruikersgedrag zien nu gebruik van persoonlijke devices de norm is geworden

BlackBerry geeft reverse-engineering-tool gratis vrij in de strijd tegen cyberaanvallen

BlackBerry geeft reverse-engineering-tool gratis vrij in de strijd tegen cyberaanvallen

BlackBerry Limited stelt een opensourcetool beschikbaar waarmee cybersecurity-professionals gemakkelijker malware kunnen ontmantelen met behulp van reverse-engineering. Met de tool, PE Tree genaamd, blijft BlackBerry zich inzetten in de strijd tegen voortdurend veranderende cyberdreigingen. Steeds geavanceerder Reverse-engineering van malware is...