Se nell’antichità Prometeo era il portatore di conoscenza degli uomini, in ambito informatico è stato utilizzato come icona di un servizio basato su Cobalt Strike e finalizzato a fornire una soluzione Crimeware-as-a-service (Caas) come strumento dato in dotazione a clienti abbonati per organizzare attività successive alle compromissioni di alcuni dispositivi informatici.
Prometheus è apparso nell’agosto 2021 quando la società di sicurezza informatica Group-IB ha divulgato i dettagli delle campagne di distribuzione di software dannoso intraprese da gruppi di criminali informatici per distribuire Camp Loader, Hancitor, IcedID, QBot, Buer Loader e SocGholish in Belgio e gli Stati Uniti
Con un costo di $ 250 al mese, è commercializzato nei forum clandestini russi come un sistema di direzione del traffico (TDS) per consentire il reindirizzamento del phishing su larga scala a pagine di destinazione canaglia progettate per distribuire payload di malware sui sistemi presi di mira.
In genere, il reindirizzamento viene incanalato da una delle due fonti principali, vale a dire con l’aiuto di annunci dannosi (ovvero malvertising) su siti Web legittimi o tramite siti Web manomessi per inserire codice dannoso.
Nel caso di Prometheus, la catena di attacco inizia con un’e-mail di spam contenente un file HTML o una pagina di Google Docs che, dopo l’interazione, reindirizza la vittima a un sito Web compromesso che ospita una backdoor PHP che rileva le impronte digitali della macchina per determinare se “colpire la vittima di malware o reindirizzarla a un’altra pagina che potrebbe contenere una truffa di phishing.”
Le prime attività legate agli operatori del servizio, che si chiamano “Ma1n” sui forum di hacking, sarebbero iniziate nell’ottobre 2018, con l’autore collegato ad altri strumenti illeciti che offrono reindirizzamenti di alta qualità e kit PowerMTA per l’invio alle aziende cassette postali, prima di mettere in vendita Prometheus TDS il 22 settembre 2020.
Secondo le prime ricostruzioni, la gang utilizzerebbe una copia crackata di Cobalt Strike che viene rivenduta non solo come servizio installabile autonomamente dal proprio cliente abbonato, ma che può essere fornita già con una macchina virtuale che la ospita.
Cosa è Cobalt Strike?
Cobalt Strike è un software utilizzato per effettuare attività di analisi e stress test di reti informatiche e che ha la capacità di adattare le regole della rete in base alle caratteristiche dei singoli malware. L’applicativo è utilizzato da molte organizzazioni di governo degli Stati Uniti, grandi imprese e organizzazioni di consulenza.
Cosa sono i sistemi di direzione del traffico TDS?
I sistemi di direzione del traffico (TDS) sono utilizzati come pagine di atterraggio che indirizzano il traffico verso il contenuto dannoso in base a una varietà di criteri come il sistema operativo, la versione del browser e la posizione geografica. Solitamente è collegato ad un utilizzo di un iframe malevolo incorporato in un sito web compromesso che sfrutta un pacchetto di exploit con l’intento di compromettere alcune vulnerabilità software presenti eventualmente nei dispositivi degli utenti.
