流量導向系統HelloTDS散布假圖靈驗證程式，感染數百萬裝置

Gen Digital安全研究人員發現駭客利用名為HelloTDS的流量導向系統（Traffic Direction System，TDS）散布假CAPTCHA等惡意程式，已感染430萬臺用戶裝置。

近來發生數波FakeCaptcha變種攻擊。Fake Captcha曾在2024年秋天肆虐，駭客使用假的網站圖靈驗證機制騙取造訪用戶點擊，並在受害者電腦植入LummaC2等惡意程式。研究人員相信這幾波變種攻擊背後，都來自一個由駭客控制的流量導向系統（Traffic Direction System，TDS）網路，並將之稱為HelloTDS，能辨識用戶裝置和網路資訊，藉此決定下載竊密、竊財或其他目的的惡意程式。

HelloTDS至少在今年4、5月開始就感染了超過430萬用戶。以絕對值而言，受害者以美、巴西、印度和西歐最多，但考量人口及受害者比例，相對風險以巴爾幹半島、及盧安達、埃及、坦尚尼亞和肯亞等非洲國家最高。

從攻擊鏈而言，當受害者點選受感染的網站，就面臨HelloTDS的攻擊。研究人員分析HelloTDS感染的網站，少部份是廣告網路，多半是偽造的電影串流、檔案共享、縮址網站、色情或BT鏡像網站，其實都是攻擊者控制的網站，構成HelloTDS的主要來源。

受害者造訪的網站先向原始HelloTDS端點請求JavaScript及其他檔案，接連從用戶連線、瀏覽器或滑鼠動作是否為適合的受害者。若否，連線及攻擊會中止。若是，則將用戶導向惡意網站。受害者主要被導向包含FakeCaptcha，其他還有假更新、加密惡意程式、詐騙內容等的登陸頁。一旦受害者點入這些登陸頁並執行點選動作，就會下載惡意程式下載計，例如Emmenhtal loader。

研究人員指出，這波攻擊中，不但偽造的網站使用看似合法網站的網址博取用戶信任，又利用假的Captcha製造可信度假象，進一步提高HelloTDS的威脅。研究人員提醒用戶使用防止瀏覽器或裝置指紋辨識（fingerprint）的防護。若是針對Fake Captcha，則必須避免從陌生網站複製貼上指令以Windows Run執行。