Os pesquisadores de segurança da GoDaddy revelaram uma análise detalhada do Help TDS, um sofisticado sistema de direção de tráfego operacional desde pelo menos 2017, que explora sites comprometidos para canalizar o tráfego em direção a golpes maliciosos.
Esta operação fornece afiliados com modelos de código PHP que são injetados em locais legítimos, principalmente instalações do WordPress, para redirecionar visitantes para páginas fraudulentas imitando alertas de segurança do Microsoft Windows.
Esses alertas empregam técnicas avançadas de manipulação do navegador, como aquisições de tela cheia e scripts de prevenção de saída, para prender os usuários e coagi-los a chamar linhas de suporte técnico falsas.
Evolução de um sistema persistente de direção de tráfego
Quando as vítimas se envolvem, os invasores usam ferramentas de acesso remoto para fabricar detecções de malware e exigir pagamentos por serviços de limpeza falsos.
Para tráfego não qualificado, a ajuda TDS volta a golpes alternativos envolvendo sites de namoro, esquemas de criptomoeda ou sorteios, demonstrando um modelo de monetização flexível integrado a campanhas como Dollyway, Balada Injector e Redirects DNS TXT.
A marca do sistema é seu padrão de URL de redirecionamento distinto, /help /?[.]site ou radiante.growsier[.]comprar.
Os links de rastreamento histórico ajudam TDs a tensões anteriores de malware, incluindo o Redirector de Crypper 2018 e até as portas de spam de SEO de 2015 amarradas ao FPED8[.]org.
Com o tempo, ele evoluiu de domínios descartáveis em TLDs gratuitos para uma infraestrutura robusta dependendo Canais de telegrama Como o TrafficRedirect para novos domínios de redirecionamento e servidores C2 de fallback, como Pinkfels[.]comprar.
Os afiliados personalizam esses modelos com IDs de campanha exclusivos e chaves de API, permitindo integração perfeita com TDs alternativas como Lospollos, enquanto bases de código compartilhadas sugerem que os operadores de TDS fornecem soluções de plug-and-play para diminuir a barreira de entrada para os cibercriminosos.
Unidades sofisticadas de plug -in maliciosas
Central para operações recentes é o plugin WordPress “wooCommerce_inputs” malicioso, não relacionado, não relacionado a legítimo Ferramentas WooCommerceque rapidamente evoluiu do final de 2024 a junho de 2025.
Instalado por credenciais de administrador roubadas em mais de 10.000 sites em todo o mundo, este plugin se disfarça de extensão benigna, mas incorpora a colheita de credenciais, a filtragem geográfica e as atualizações autônomas.
As versões iniciais, como 1,4, apresentavam ativação tardia (24 horas após a instalação), redirecionamentos somente para desktop direcionados aos EUA, Canadá e Japão e tabelas de banco de dados (por exemplo, WP_IP_TRACKING) para registrar IPS e evitar redirecionamentos repetidos.
Na versão 1.5, em maio de 2025, adicionou exfiltração quinzenal de nomes de usuário, e -mails e exibições de dados de usuários para Pinkfels[.]Faça uma compra, potencialmente referenciada com lixões da Web Dark para aquisições de contas.
Isso cria um ciclo de auto-reforço: as credenciais roubadas permitem mais infecções, reforçando a persistência.
De acordo com o relatórioVersão 1.7 Filtros afrouxados para redirecionar todo o tráfego do mecanismo de pesquisa, aprimorando a monetização, enquanto 2.0.0 Introduziu o design orientado a objetos com verificações diárias de atualização por meio de pontos de extremidade C2, baixando arquivos ZIP personalizados para redirecionamentos de massa ou direcionados.
Uma versão de buggy 3.0.0, possivelmente generada e específica de campanha, tentativa de infecções em todo o servidor e remoção de malware dos concorrentes, mas permanece rara devido à impraticabilidade.
Campanhas ativas, como 32471739198434 e 32861745670379, usam IPs de proxy como 212.56.48.34 para instalações, com toras mostrando sequências de infecção rápidas de 22 segundos do login à ativação.
Em conclusão, ajude a TDS exemplifica um ecossistema de atendimento criminal que capacita os afiliados por meio de C2 integrado, táticas de evasão e evolução do plug-in, interrupção pós-Lospollos.
Os proprietários do site devem priorizar o MFA, as auditorias de plug -in e as varreduras de segurança para combater essa ameaça, pois o GoDaddy já atenuou infecções em sites hospedados.
Indicadores de compromisso (COI)
| Categoria | Detalhes |
|---|---|
| Nomes de arquivos | wp-content/plugins/woocommerce_inputs/woocommerce_inputs.php; wooCommerce-load.php; Arquivos de cache (por exemplo, FA9A7BA3D8E48B74B57AF9E70AA419AB) |
| Hashes (SHA-256) | E889B2A46312291DB487DA925DEA5844C386E8E439B2F87A2F798544E0A7C4F0; B3D0517A360B283C671BCBB8C09F517E9AA5A4C402C4D2C029059DB55FC6601C; 89A3BDFE7072F226134DEC05F1281508BDFC106F9A1C8AFCC47D19EF9B9A1EA |
| IDs de campanha/chaves da API | 32471739198434 (5AD35C567498E1685DBB59748C40A1C9); 32861745670379 (153D4F720470D9E7A3E895C70153E7CD) |
| C2/URLs | t.me/s/trafficredirect; Pinkfels[.]loja/? t = json & i =& a =; /help/? d {14} padrão |
| IPS | 84.239.43.45; 212.56.48.34; 78.128.113.14 |
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!