利用普罗米修斯TDS恶意软件服务的一系列网络攻击

多个网络犯罪集团正在利用恶意软件即服务（MaaS）解决方案开展广泛的恶意软件分发活动，这些活动导致针对比利时个人以及政府机构、公司、，以及美国的公司。

被称为“普罗米修斯“自2020年8月起，这项服务在地下平台上以每月250美元的价格出售。根据IB集团与《黑客新闻》分享的一份报告，这项服务是一个交通方向系统（TDS），旨在分发带有恶意软件的Word和Excel文档，并将用户转移到钓鱼和恶意网站。

据称，有3000多个电子邮件地址通过恶意活动被挑出来，其中普罗米修斯TDS被用来发送恶意电子邮件，银行和金融、零售、能源和采矿、网络安全、医疗保健、IT和保险成为攻击的主要目标。

“普罗米修斯TDS是一种地下服务，可以分发恶意文件，并将访问者重定向到钓鱼和恶意网站，”IB集团的研究人员说。“此服务由Prometheus TDS管理面板组成，攻击者在其中为恶意活动配置必要的参数：下载恶意文件，并配置对用户地理位置、浏览器版本和操作系统的限制。”

众所周知，该服务还利用受第三方感染的网站，这些网站由活动的运营商手动添加，并充当攻击者管理小组和用户之间的中间人。要实现这一点，需要一个名为普罗米修斯。后门“被上传到受损网站，以收集并发回有关受害者的数据，并据此决定是否将有效负载发送给用户和/或将其重定向到指定的URL。

攻击方案始于一封包含HTML文件的电子邮件、指向将用户重定向到指定URL的网络外壳的链接，或指向嵌入URL的谷歌文档的链接，该URL将用户重定向到恶意链接，当打开或单击该链接时，会将收件人引导到受感染的网站，它秘密地收集基本信息（IP地址、用户代理、推荐人标题、时区和语言数据），然后将这些数据转发给普罗米修斯管理面板。

在最后阶段，管理小组负责发送命令，将用户重定向到特定URL，或发送恶意软件泛滥的Microsoft Word或Excel文档，用户下载文件后立即重定向到合法网站，如DocuSign或USPS，以屏蔽恶意活动。研究人员发现，除了分发恶意文件外，普罗米修斯TDS还被用作经典的TDS，用于将用户重定向到特定网站，例如假冒VPN网站、出售伟哥和Cialis的可疑门户网站，以及银行钓鱼网站。

“普罗米修斯TDS还将用户重定向到销售药品的网站，”研究人员指出。“这类网站的运营商通常有分支机构和合作伙伴计划。反过来，合作伙伴往往采取激进的垃圾邮件活动，以增加分支机构计划内的收入。IB集团专家对普罗米修斯基础设施的分析显示，链接将用户重定向到与加拿大一家制药公司有关的网站任何"