Сложная система Help TDS использует взломанные сайты для распространения фейковых предупреждений Microsoft

Исследователи кибербезопасности компании GoDaddy опубликовали детальный анализ системы Help TDS, предназначенной для направления трафика на мошеннические ресурсы. Эта система, действующая с 2017 года, внедряет на легитимные веб-сайты, преимущественно работающие на WordPress, вредоносные PHP-шаблоны. В результате посетители таких сайтов перенаправляются на поддельные страницы, имитирующие предупреждения системы безопасности Microsoft Windows.

Описание

Мошеннические страницы используют методы полного захвата экрана и скрипты, блокирующие закрытие браузера, чтобы принудить пользователей позвонить на подставные линии технической поддержки. Когда жертвы звонят, злоумышленники с помощью инструментов удаленного доступа создают фиктивные обнаружения вредоносных программ и требуют оплаты за несуществующие услуги по очистке системы. Для трафика, который не соответствует целевым критериям, система перенаправляет пользователей на другие мошеннические схемы, включая сайты знакомств, криптовалютные аферы или лотереи.

Help TDS отличается уникальным шаблоном URL для перенаправления - /help/?d{14}, который ведет на домены вроде gadbets[.]site или radiant.growsier[.]shop. Исторический анализ связывает эту систему с более ранними вредоносными программами, включая redirector Crypper 2018 года и даже SEO-спам 2015 года, связанный с доменом fped8[.]org. Со временем инфраструктура системы эволюционировала от использования одноразовых доменов на бесплатных TLD до надежной сети, управляемой через Telegram-каналы, такие как trafficredirect, для распространения новых доменов и резервных C2-серверов.

Ключевым элементом последних операций стал вредоносный плагин для WordPress под названием "woocommerce_inputs", который не имеет отношения к легитимному инструменту WooCommerce. Этот плагин, активно развивавшийся с конца 2024 по июнь 2025 года, устанавливается на сайты с помощью украденных учетных данных администратора. Он маскируется под безобидное расширение, но включает функции сбора учетных данных, географической фильтрации и автономных обновлений.

Ранние версии плагина, такие как 1.4, активировались с задержкой в 24 часа после установки, перенаправляли только десктопных пользователей из США, Канады и Японии и использовали базу данных для отслеживания IP-адресов, чтобы избежать повторных перенаправлений. Версия 1.5, выпущенная в мае 2025 года, добавила функцию выгрузки данных пользователей, включая логины, электронные почты и отображаемые имена, на сервер pinkfels[.]shop каждые две недели. Эти данные потенциально сверяются с утечками из темного интернета для захвата учетных записей, создавая самоподдерживающийся цикл: украденные учетные данные позволяют проводить новые заражения, усиливая устойчивость системы.

Версия 1.7 ослабила фильтрацию, чтобы перенаправлять весь трафик из поисковых систем, что увеличило монетизацию. Версия 2.0.0 представила объектно-ориентированный дизайн с ежедневными проверками обновлений через C2-серверы, загружая настроенные ZIP-файлы для массовых или целевых перенаправлений. Версия 3.0.0, возможно, сгенерированная искусственным интеллектом и предназначенная для конкретных кампаний, пыталась осуществлять заражение на уровне сервера и удалять конкурирующие вредоносные программы, но из-за непрактичности встречается редко.

Активные кампании, такие как 32471739198434 и 32861745670379, используют прокси-IP, например 212.56.48.34, для установки плагинов. Логи показывают, что процесс заражения занимает всего 22 секунды от входа в систему до активации. Help TDS представляет собой развитую экосистему преступных услуг, которая предоставляет партнерам интегрированные C2-серверы, тактики уклонения и развивающиеся плагины, особенно после прекращения работы системы LosPollos.