Вирус Help TDS научился сам себя обновлять и воровать данные.
В сети обнаружена масштабная кампания по компрометации , связанная с эволюцией системы Help TDS и вредоносного плагина woocommerce_inputs. Согласно GoDaddy Security, с конца 2024 года до июня 2025 года разработчики Help TDS последовательно улучшали свою инфраструктуру и функциональность вредоноса, превратив его из простой системы перенаправления трафика в полноценную платформу для монетизации взломанных сайтов.
Help TDS — это Traffic Direction System, активная как минимум с 2017 года. Она используется для перенаправления пользователей с заражённых ресурсов на целевые страницы , где посетителей убеждают в наличии несуществующих угроз и вынуждают платить за «срочное устранение проблем». Система поддерживает альтернативные сценарии монетизации: перенаправления на фишинговые сайты, криптовалютные аферы, сервисы знакомств и лотерейные страницы.
В последние месяцы инфраструктура Help TDS тесно интегрирована с woocommerce_inputs, который атакующие устанавливают через украденные учётные данные администраторов. Этот плагин маскируется под легитимный компонент WooCommerce, но в официальном репозитории WordPress его нет. С его помощью злоумышленники собирают учётные данные пользователей, перенаправляют поисковой трафик на поддельные страницы Microsoft Windows Security Alert и динамически обновляют вредоносный код через C2-серверы Help TDS.
Согласно данным GoDaddy, плагин прошёл несколько крупных стадий эволюции:
Инфраструктура Help TDS использует распределённую архитектуру, опираясь на каналы в Telegram, динамические домены и C2-серверы, такие как pinkfels[.]shop, для получения свежих URL-адресов перенаправления и загрузки обновлений. Исследователи зафиксировали автоматизированную логику, которая кэширует данные кампаний, устанавливает уникальные идентификаторы и использует cookie, чтобы не перенаправлять одного и того же посетителя дважды.
По оценкам GoDaddy, в результате кампании заражено более 10 000 WordPress-сайтов по всему миру. Анализ логов показал, что злоумышленники заходят в административную панель под валидными учётными данными, загружают плагин, активируют его и используют прокси для скрытия происхождения атак.
Специалисты предупреждают, что цепочки компрометаций делает атаку самоподдерживающейся: украденные пароли используются для установки плагина, который затем собирает новые учётные данные и передаёт их в Help TDS, создавая эффект «замкнутого цикла».
Для защиты от подобных атак GoDaddy рекомендует:
Help TDS эволюционировала в полноценную платформу malware-as-a-service (MaaS), объединив в себе редиректы, кражу данных, автообновления и динамическую инфраструктуру. Кампания остаётся активной, а количество заражённых сайтов продолжает расти.
Подробнее:
В сети обнаружена масштабная кампания по компрометации , связанная с эволюцией системы Help TDS и вредоносного плагина woocommerce_inputs. Согласно GoDaddy Security, с конца 2024 года до июня 2025 года разработчики Help TDS последовательно улучшали свою инфраструктуру и функциональность вредоноса, превратив его из простой системы перенаправления трафика в полноценную платформу для монетизации взломанных сайтов.
Help TDS — это Traffic Direction System, активная как минимум с 2017 года. Она используется для перенаправления пользователей с заражённых ресурсов на целевые страницы , где посетителей убеждают в наличии несуществующих угроз и вынуждают платить за «срочное устранение проблем». Система поддерживает альтернативные сценарии монетизации: перенаправления на фишинговые сайты, криптовалютные аферы, сервисы знакомств и лотерейные страницы.
В последние месяцы инфраструктура Help TDS тесно интегрирована с woocommerce_inputs, который атакующие устанавливают через украденные учётные данные администраторов. Этот плагин маскируется под легитимный компонент WooCommerce, но в официальном репозитории WordPress его нет. С его помощью злоумышленники собирают учётные данные пользователей, перенаправляют поисковой трафик на поддельные страницы Microsoft Windows Security Alert и динамически обновляют вредоносный код через C2-серверы Help TDS.
Согласно данным GoDaddy, плагин прошёл несколько крупных стадий эволюции:
- Версия 1.4 (конец 2024 года) ввела географическую фильтрацию трафика, скрытую активацию и управление cookie для незаметного перенаправления только нужных посетителей.
- Версия 1.5 (май 2025) добавила функцию кражи учётных данных WordPress, включая логины и email-адреса, с последующей отправкой на C2 pinkfels[.]shop.
- Версия 1.7 расширила объём атак, начав перенаправлять всех новых пользователей из поисковых систем, а не только ограниченные регионы.
- Версия 2.0.0 (июнь 2025) получила автономный механизм обновлений: плагин ежедневно запрашивает новые версии на C2 и заменяет себя без участия администратора.
- Версия 3.0.0 (июль 2025) стала самым сложным вариантом — она способна заражать сайты на любых CMS, использовать избыточные механизмы закрепления и устранять конкурирующий вредонос, но встречается редко из-за нестабильности и множества ошибок.
Инфраструктура Help TDS использует распределённую архитектуру, опираясь на каналы в Telegram, динамические домены и C2-серверы, такие как pinkfels[.]shop, для получения свежих URL-адресов перенаправления и загрузки обновлений. Исследователи зафиксировали автоматизированную логику, которая кэширует данные кампаний, устанавливает уникальные идентификаторы и использует cookie, чтобы не перенаправлять одного и того же посетителя дважды.
По оценкам GoDaddy, в результате кампании заражено более 10 000 WordPress-сайтов по всему миру. Анализ логов показал, что злоумышленники заходят в административную панель под валидными учётными данными, загружают плагин, активируют его и используют прокси для скрытия происхождения атак.
Специалисты предупреждают, что цепочки компрометаций делает атаку самоподдерживающейся: украденные пароли используются для установки плагина, который затем собирает новые учётные данные и передаёт их в Help TDS, создавая эффект «замкнутого цикла».
Для защиты от подобных атак GoDaddy рекомендует:
- обязательное использование для администраторов;
- регулярные проверки установленных плагинов и аудиты файлов WordPress;
- мониторинг появления несанкционированных таблиц БД и задач по расписанию;
- установку инструментов для анализа вредоносных редиректов и эксфильтрации данных;
- контроль подключений к подозрительным C2-узлам, таким как pinkfels[.]shop.
Help TDS эволюционировала в полноценную платформу malware-as-a-service (MaaS), объединив в себе редиректы, кражу данных, автообновления и динамическую инфраструктуру. Кампания остаётся активной, а количество заражённых сайтов продолжает расти.
Подробнее:
