Los sistemas TDS son la próxima gran novedad en el mundo de las operaciones de cibercriminales

Los sistemas de distribución de tráfico, a menudo solo TDS, se están convirtiendo en la próxima gran novedad en el mundo de las operaciones del cibercrimen.

Para los no iniciados en la jerga y los términos utilizados por los investigadores de seguridad, un TDS es una aplicación web que recibe el tráfico entrante, lo filtra según diversos criterios y luego redirige al usuario a una "página de destino" que puede ser un kit de explotación, tecnologías para el soporte de las estafas, o sitio web empujando una actualización falsa.

El tráfico entrante siempre es ilícito y, por lo general, proviene de dos fuentes principales: anuncios maliciosos (publicidad maliciosa) que es secretamente expulsa al usuario de un sitio legítimo al TDS; o de sitios web pirateados que redirigen a los usuarios aleatorios del sitio legítimo al TDS.

Los sistemas TDS se separaron de los kits de exploits

Hace unos años, los sistemas de distribución de tráfico no eran más que componentes de grandes utilidades para la distribución kits de exploits(Archivos exe con malware,...).

Los kits de exploits más antiguos como Angler y Nuclear suelen incluir un TDS (generalmente denominado "gates" o "fingerprinting system") que filtra el tráfico antes de que los usuarios entren en una página web donde fueron infectados con malware a través de un exploit.

Pero los kits de exploits han estado en declive desde el verano de 2016. Las detenciones y las mejoras de seguridad de los navegadores modernos hacían más difícil para los delincuentes ejecutar un completo kit de exploits.

Los propietarios de los kits de exploits a quienes generalmente se les pagaba por "infecciones" vieron mal su situación, y muchos lo abandonarón, con múltiples kits de exploits que cerrando sus tiendas desde el otoño de 2016.

Pero a medida que algunos de los kits de exploits más grandes y más profesionales se cerraron, el mercado de distribución de malware permaneció sediento de tráfico web. Aquí es donde algunos ciberdelincuentes encuentran un hogar ejecutando operaciones de TDS-as-a-Service independientes.

Los sistemas TDS son máquinas de hacer dinero

Hoy en día, los sistemas TDS como EITest y Seamless se detectan regularmente en las operaciones de distribución de malware basadas en la web. Suelen estar en algún lugar entre una víctima y el sitio malicioso, dirigiendo el tráfico.

Estas son ofertas de Crimeware-as-a-Service (CaaS), similares a los servicios legítimos. Tomemos, por ejemplo, BlackTDS, el creador más reciente del mercado, lanzado en diciembre de 2017 y detallado en un informe de Proofpoint publicado a principios de esta semana.

BlackTDS no es más que un portal donde los ciberdelincuentes se registran para obtener una cuenta. En el interior, después de pagar las tarifas adecuadas, tienen un panel web donde pueden decidir qué tipo de usuarios desean infectar según los detalles, como país, tipo de sistema operativo, versión del navegador, configuración de idioma, hora del día, etc.

Los clientes de BlackTDS solo deben proporcionar el sitio web final donde el TDS debe redirigir a los usuarios, haciendo que toda la operación sea una experiencia de apuntar y hacer clic, incluso para el delincuente más novato.

Por otro lado, los operadores de TDS tienen que detectar y filtrar a los investigadores de seguridad, y siempre mantener un flujo constante de víctimas potenciales al agregar nuevas fuentes de tráfico.

Los sistemas TDS se encuentran en casi todas las operaciones de malware basadas en web

Mientras que los sistemas TDS alguna vez fueron componentes de EK (kit de exploits), ahora los ciberdelincuentes usan sistemas de TDS de terceros para redirigir a los usuarios hacia kits de exploits simplificados que solo incluyen la parte de "explotación". Además, los sistemas TDS a menudo se utilizan en la actualidad para redirigir a los usuarios a sitios de phishing, estafas de soporte técnico y sitios web que impulsan actualizaciones falsas de aplicaciones y paquetes de fuentes falsos.

El TDS más grande del mercado es, con mucho, EITest, un sistema TDS que comenzó a funcionar en la primavera de 2017 y que recibió su nombre por su enfoque en el filtrado y la redirección de usuarios de Internet Explorer (IE). Más detalles sobre EITest también se publicaron esta semana en el blog de seguridad Malware Do not Need Coffee, donde los expertos detallaron lo que vieron cuando lograron penetrar en uno de los servidores de redirección de la plataforma TDS.

En general, vemos una tendencia clara en el panorama del cibercrimen donde los sistemas TDS se están volviendo rentables y se han labrado un lugar en el mercado al proporcionar servicios que alguna vez fueron parte de las operaciones profesionales de EK.