Un sofisticado sistema de dirección de tráfico conocido como Ayuda TDS ha estado armando sitios web comprometidos desde 2017, transformando sitios legítimos en puertas de enlace para estafas elaboradas de soporte técnico.
La operación se especializa en la implementación de plantillas de código PHP que redirigen a los visitantes desprevenidos a las fraudulentas páginas de alerta de seguridad de Microsoft Windows diseñadas para engañar a los usuarios para que crean que sus sistemas están comprometidos.
La infraestructura maliciosa funciona a través de un patrón de URL distintivo que usa redireccionamientos “/Help/? D {14}”, con ejemplos que incluyen dominios como Gadbets (.) Sitio/Ayuda/? 29511696874942 y Radiant.Growsier (.) Tienda/Ayuda/? 30721707351057.
Estas redireccionadas llevan a las víctimas a las sofisticadas páginas de estafas que emplean técnicas de manipulación y prevención de salida del navegador de pantalla completa, atrapando efectivamente a los usuarios dentro de las advertencias de seguridad fabricadas que imitan las alertas legítimas de Microsoft.
AYUD TDS se ha convertido en una plataforma integral de malware como servicio, proporcionando plantillas de inyección PHP estandarizadas y complementos de WordPress maliciosos totalmente complacidos a los afiliados penales.
El alcance de la operación se extiende a través de múltiples canales de monetización, incluidas las estafas de citas, criptomonedas y sorteos para el tráfico que no cumple con los criterios de estafa de soporte técnico.
Investigadores de GoDaddy identificado que el sistema ha infectado en más de 10,000 sitios de WordPress en todo el mundo, con el complemento malicioso de “WooCommerce_Inputs” que sirve como el vector de infección primario.
La sofisticación técnica de la campaña se hace evidente a través de su integración con operaciones de malware establecidas, incluidos Dollyway y Balada Inyector.
Ejemplo de contenido del canal de telegrama de tráfico (fuente – godaddy)
Después de la interrupción de la Red de Afiliados de Lospolos, ayuda a TDS se posicionó como la plataforma de monetización dominante, utilizando un canal de telegrama llamado “tráfico” para distribuir dominios de redirección frescos junto con la infraestructura de retroceso a través de los servidores de los taller de Pinkfels (.).
Mecanismos avanzados de evolución y persistencia del complemento
El complemento malicioso de WooCommerce_Inputs representa el pináculo de la evolución técnica de Help TDS, progresando a través de múltiples versiones con capacidades cada vez más sofisticadas.
Ofuscado WooCommerce_inputs/WooCommerce-Load.php File (Fuente-Godaddy)
La versión 1.4 introdujo mecanismos avanzados de filtrado de tráfico, creando tablas de bases de datos como “WP_IP_TRACKing” para monitorear las direcciones IP de los visitantes y evitar múltiples redirecciones.
El malware implementa la evasión temporal evitando las redirecciones los domingos, la orientación geográfica centrada en Estados Unidos, Canadá y Japón, y el filtrado de dispositivos que se dirige exclusivamente a las computadoras de escritorio al ignorar el tráfico móvil.
La estrategia de persistencia del complemento implica la activación tardía, esperando 24 horas después de la instalación antes de iniciar redireccionamientos para oscurecer la conexión entre la instalación del complemento y la actividad maliciosa.
La gestión de cookies a través de identificadores “redirigir” y “socios_” asegura que los visitantes no se redirigan varias veces dentro de un período de 24 horas, manteniendo sigilo operativo al tiempo que maximiza las tasas de conversión de víctimas.
La versión 2.0.0 introdujo las capacidades de actualización autónoma a través de la infraestructura de comando y control de Help TDS, que permite modificaciones dinámicas de complementos a través de puntos finales de API en PinkFels (.) Shop/WP-Plugin.
El sistema genera versiones de complementos personalizadas para cada identificador de campaña, lo que demuestra la gestión de infraestructura sofisticada de la operación.
Los actores de amenaza obtienen acceso inicial a través de las credenciales robadas de administrador de WordPress, con registros de servidores que revelan secuencias de ataque de 22 segundos rápidos desde el inicio de sesión hasta la activación del complemento.
El mecanismo de redirección emplea métodos JavaScript duales para la compatibilidad del navegador: window.location.replace (“https://cybersecuritynews.com/help-tdsweaponize-leitimate-sites-php-code/$redirecturl”); Window.location.href = “https://cybersecuritynews.com/help-tdsweaponize-legitimate-sites-php-code/$redirecturl”; Asegurar la redirección de tráfico confiable independientemente de la configuración de seguridad del navegador.
Este enfoque técnico, combinado con la funcionalidad de recolección de credenciales que exfiltra los datos del usuario de WordPress quincenalmente, crea un ciclo de compromiso autoperpetuante donde las credenciales robadas facilitan más infecciones en el ecosistema de WordPress.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
