Các nhà nghiên cứu bảo mật của GoDaddy đã công bố một phân tích chi tiết về Help TDS, một Hệ thống Điều hướng Lưu lượng (Traffic Direction System – TDS) tinh vi đã hoạt động từ ít nhất năm 2017. Hệ thống này khai thác các website bị xâm nhập để chuyển hướng lưu lượng truy cập tới các trang lừa đảo độc hại. Mục tiêu chính là các website bảo mật WordPress, nơi Help TDS được sử dụng để phát tán các chiến dịch lừa đảo hỗ trợ kỹ thuật và các hình thức tấn công mạng khác.

Hoạt động này cung cấp cho các bên liên kết các mẫu mã PHP, được chèn vào các trang web hợp pháp, chủ yếu là các cài đặt WordPress, nhằm chuyển hướng khách truy cập đến các trang giả mạo cảnh báo bảo mật của Microsoft Windows.

Tổng quan về Hệ thống Điều hướng Lưu lượng (TDS) Help TDS

Bản chất và Hoạt động của Help TDS

Help TDS được thiết kế để định tuyến người dùng đến các trang lừa đảo thông qua các website bị kiểm soát. Khi một website WordPress bị xâm nhập, các mã PHP độc hại sẽ được tiêm vào, chủ động can thiệp vào trải nghiệm duyệt web của người dùng.

Quá trình chuyển hướng này được thực hiện một cách có chọn lọc, dựa trên các tiêu chí nhất định như vị trí địa lý, loại thiết bị hoặc nguồn lưu lượng. Điều này đảm bảo rằng chỉ những đối tượng mục tiêu cụ thể mới bị chuyển hướng đến các trang lừa đảo.

Các Chiến dịch Lừa đảo và Kỹ thuật Thao túng Trình duyệt

Các cảnh báo giả mạo Microsoft Windows được Help TDS tạo ra sử dụng các kỹ thuật thao túng trình duyệt tiên tiến. Chúng bao gồm việc chiếm toàn bộ màn hình và các script ngăn chặn thoát trang, nhằm giữ chân người dùng trong môi trường lừa đảo.

Mục tiêu của các kỹ thuật này là ép buộc người dùng gọi đến các đường dây hỗ trợ kỹ thuật giả mạo. Sau khi nạn nhân liên hệ, những kẻ tấn công sẽ sử dụng công cụ truy cập từ xa để tạo ra các báo cáo phát hiện phần mềm độc hại giả mạo, sau đó yêu cầu thanh toán cho các dịch vụ dọn dẹp không tồn tại.

Mô hình Kiếm tiền Đa dạng

Đối với lưu lượng truy cập không đủ điều kiện cho các chiêu trò lừa đảo hỗ trợ kỹ thuật, Help TDS sẽ chuyển hướng sang các hình thức lừa đảo thay thế. Chúng bao gồm các trang web hẹn hò, các kế hoạch liên quan đến tiền điện tử, hoặc các chương trình rút thăm trúng thưởng.

Mô hình này cho thấy sự linh hoạt trong việc kiếm tiền của Help TDS, được tích hợp với các chiến dịch như DollyWay, Balada Injector và các phương pháp chuyển hướng DNS TXT. Điều này tối ưu hóa khả năng khai thác mọi loại lưu lượng truy cập.

Lịch sử và Sự Phát triển của Help TDS

Nguồn gốc và Liên kết với các Mã độc Tiền nhiệm

Đặc điểm nhận dạng của hệ thống này là mẫu URL chuyển hướng đặc biệt, có dạng /help/?d{14}. Mẫu này định tuyến người dùng đến các tên miền độc hại như gadbets[.]site hoặc radiant.growsier[.]shop.

Theo dõi lịch sử cho thấy Help TDS có liên quan đến các biến thể phần mềm độc hại trước đây. Điều này bao gồm trình chuyển hướng Crypper năm 2018 và thậm chí cả các cổng spam SEO từ năm 2015, có liên hệ với tên miền fped8[.]org. Sự tiến hóa này chứng tỏ khả năng thích ứng của nhóm tấn công.

Hạ tầng C2 và Kênh Telegram

Theo thời gian, Help TDS đã phát triển từ việc sử dụng các tên miền dùng một lần trên các TLD miễn phí sang một cơ sở hạ tầng mạnh mẽ hơn. Hệ thống này hiện dựa vào các kênh Telegram, ví dụ như kênh trafficredirect, để cung cấp các tên miền chuyển hướng mới.

Ngoài ra, các máy chủ C2 dự phòng như pinkfels[.]shop cũng được sử dụng để duy trì hoạt động liên tục của các chiến dịch. Điều này thể hiện sự đầu tư đáng kể vào hạ tầng nhằm đảm bảo độ bền vững của tấn công mạng.

Các bên liên kết có thể tùy chỉnh các mẫu mã với ID chiến dịch và khóa API riêng. Điều này cho phép tích hợp liền mạch với các TDS khác như LosPollos. Các cơ sở mã nguồn được chia sẻ cũng cho thấy các nhà điều hành Help TDS cung cấp các giải pháp “cắm và chạy”, giảm rào cản gia nhập cho tội phạm mạng.

Plugin WordPress Độc hại “woocommerce_inputs”

Chi tiết về Plugin và Cơ chế Lây nhiễm

Một yếu tố trung tâm trong các hoạt động gần đây của Help TDS là plugin WordPress độc hại có tên “woocommerce_inputs”. Plugin này không liên quan đến các công cụ WooCommerce hợp pháp và đã phát triển nhanh chóng từ cuối năm 2024 đến tháng 6 năm 2025.

Plugin này được cài đặt thông qua thông tin đăng nhập quản trị viên bị đánh cắp trên hơn 10.000 trang web trên toàn thế giới. Nó giả mạo là một tiện ích mở rộng vô hại nhưng thực chất lại tích hợp các chức năng thu thập thông tin đăng nhập, lọc địa lý và cập nhật tự động. Đây là một mối đe dọa nghiêm trọng đối với bảo mật WordPress.

Các Phiên bản và Tính năng Tiến hóa

Phiên bản 1.4: Kích hoạt trễ và Lọc địa lý

Các phiên bản đầu tiên của plugin, như phiên bản 1.4, có tính năng kích hoạt trễ 24 giờ sau khi cài đặt. Plugin này chỉ nhắm mục tiêu vào các thiết bị máy tính để bàn và chuyển hướng lưu lượng từ Mỹ, Canada và Nhật Bản.

Nó cũng sử dụng các bảng cơ sở dữ liệu (ví dụ: wp_ip_tracking) để ghi nhật ký địa chỉ IP và tránh các lần chuyển hướng lặp lại cho cùng một người dùng. Điều này giúp tối ưu hóa hiệu quả của chiến dịch lừa đảo.

Phiên bản 1.5: Đánh cắp thông tin người dùng

Đến phiên bản 1.5 vào tháng 5 năm 2025, plugin đã bổ sung chức năng xuất dữ liệu người dùng hai tuần một lần. Các thông tin như tên người dùng, email và tên hiển thị được gửi đến pinkfels[.]shop.

Dữ liệu này có thể được đối chiếu với các thông tin rò rỉ trên dark web để thực hiện các hành vi chiếm đoạt tài khoản. Đây là một bước tiến đáng kể trong khả năng thu thập thông tin của Help TDS.

Phiên bản 1.7 và 2.0.0: Mở rộng mục tiêu và Thiết kế đối tượng

Theo báo cáo của GoDaddy, phiên bản 1.7 đã nới lỏng các bộ lọc để chuyển hướng tất cả lưu lượng truy cập từ công cụ tìm kiếm, từ đó tăng cường khả năng kiếm tiền. Điều này mở rộng phạm vi tấn công đáng kể.

Phiên bản 2.0.0 giới thiệu thiết kế hướng đối tượng, với các kiểm tra cập nhật hàng ngày thông qua các điểm cuối C2. Plugin này tải xuống các tệp ZIP tùy chỉnh cho các chiến dịch chuyển hướng hàng loạt hoặc có mục tiêu cụ thể. Tham khảo báo cáo chi tiết từ GoDaddy về Help TDS.

Phiên bản 3.0.0: Thử nghiệm không thành công

Một phiên bản 3.0.0 bị lỗi, có thể được tạo ra bằng AI và dành riêng cho từng chiến dịch, đã cố gắng lây nhiễm trên toàn máy chủ và gỡ bỏ phần mềm độc hại của đối thủ cạnh tranh. Tuy nhiên, phiên bản này hiếm khi được triển khai do tính không thực tế của nó.

Chu kỳ Tái củng cố và Xâm nhập

Sự tiến hóa của plugin tạo ra một chu kỳ tự củng cố. Thông tin đăng nhập bị đánh cắp cho phép thực hiện nhiều ca lây nhiễm hơn, từ đó tăng cường khả năng tồn tại và mở rộng của Help TDS. Các chiến dịch đang hoạt động, ví dụ như 32471739198434 và 32861745670379, sử dụng các IP proxy như 212.56.48.34 cho việc cài đặt.

Nhật ký cho thấy các chuỗi lây nhiễm diễn ra nhanh chóng, chỉ trong khoảng 22 giây từ khi đăng nhập đến khi kích hoạt. Tốc độ này làm cho việc phát hiện và phản ứng kịp thời trở nên vô cùng khó khăn đối với các quản trị viên website.

Các Chỉ số Thỏa hiệp (IOCs) và Chiến dịch Đang hoạt động

Để bảo vệ hệ thống khỏi các cuộc tấn công mạng của Help TDS, việc nhận diện và chặn các IOCs là rất quan trọng. Dưới đây là danh sách các tên miền và địa chỉ IP liên quan đến hoạt động của TDS này:

• Tên miền chuyển hướng:
  • gadbets[.]site
  • radiant.growsier[.]shop
  • fped8[.]org (liên quan lịch sử)
  • pinkfels[.]shop (máy chủ C2 và exfiltration)
• Địa chỉ IP Proxy:
  • 212.56.48.34
• Mẫu URL chuyển hướng:
  • /help/?d{14}
• Tên plugin độc hại:
  • woocommerce_inputs (không phải plugin WooCommerce chính hãng)

Các quản trị viên hệ thống nên chủ động theo dõi lưu lượng mạng và nhật ký hệ thống để phát hiện bất kỳ hoạt động nào liên quan đến các IOC này. Việc cấu hình tường lửa và hệ thống phát hiện xâm nhập (IDS) để chặn các kết nối đến các tên miền và IP này là một bước phòng ngừa cần thiết.

Biện pháp Phòng ngừa và Giảm thiểu Rủi ro

Để chống lại mối đe dọa từ Help TDS và các chiến dịch tấn công mạng tương tự, chủ sở hữu website cần ưu tiên các biện pháp bảo mật mạnh mẽ. Đặc biệt đối với các trang web sử dụng WordPress, việc tăng cường bảo mật WordPress là tối quan trọng.

• Xác thực Đa yếu tố (MFA): Bắt buộc áp dụng MFA cho tất cả tài khoản quản trị viên và người dùng có đặc quyền cao. Điều này giúp ngăn chặn việc chiếm đoạt thông tin đăng nhập.
• Kiểm tra Plugin và Chủ đề Định kỳ: Thực hiện kiểm tra định kỳ tất cả các plugin và chủ đề đã cài đặt. Đảm bảo rằng tất cả đều là phiên bản hợp pháp, được cập nhật và không chứa mã độc. Gỡ bỏ bất kỳ plugin nào không cần thiết hoặc đáng ngờ.
• Cập nhật Bản vá Bảo mật Thường xuyên: Luôn giữ cho WordPress core, plugin và chủ đề ở phiên bản mới nhất. Các bản vá bảo mật thường xuyên được phát hành để khắc phục các lỗ hổng đã biết.
• Quét Bảo mật Website: Sử dụng các công cụ quét bảo mật website chuyên nghiệp để phát hiện mã độc, lỗ hổng và các thay đổi bất thường trên hệ thống. GoDaddy đã chủ động giảm thiểu các lây nhiễm trên các trang web do họ lưu trữ, nhưng trách nhiệm tự bảo vệ vẫn thuộc về chủ sở hữu.
• Giám sát Nhật ký Hệ thống: Thường xuyên kiểm tra nhật ký truy cập và nhật ký lỗi của máy chủ để tìm kiếm các hoạt động bất thường hoặc dấu hiệu của sự xâm nhập.

Việc áp dụng tổng hợp các biện pháp này sẽ tăng cường đáng kể khả năng phòng thủ của website trước các mối đe dọa như Help TDS, bảo vệ thông tin người dùng và duy trì uy tín của trang web.