Wykryto nowy TDS (traffic direction system) o nazwie Parrot, który wykorzystuje dziesiątki tysięcy zhakowanych stron internetowych do uruchamiania złośliwych ataków.
„Parrot zainfekował różne serwery internetowe, na których znajduje się ponad 16 500 witryn internetowych. Witryny z treściami dla dorosłych, witryny prywatne, witryny uniwersyteckie i witryny samorządów lokalnych.” – przekazali badacze Avast Pavel Novák i Jan Rubín w raporcie opublikowanym w zeszłym tygodniu.
Cyberprzestępcy wykorzystują TDS do przesiewania stron, które będą przydatne w ataku. Działa także jako brama do włamywania się do ich systemów za pomocą złośliwego oprogramowania.
Ataki TDS
Na początku stycznia zespół BlackBerry Research and Intelligence wyszczególnił inny TDS o nazwie Prometheus. Został wykorzystany w różnych atakach grup cyberprzestępczych w celu dystrybucji szkodliwego oprogramowania Campo Loader, Hancitor, IcedID, QBot, Buer Loader i SocGholish.
Tym, co wyróżnia Parrot TDS, jest jego ogromny zasięg. Zwiększenie aktywności zaobserwowano pomiędzy lutym a marcem 2022 r. Operatorzy wybrali przede wszystkim serwery hostujące słabo zabezpieczone witryny WordPress, aby uzyskać dostęp do panelu administratora.
Większość użytkowników będących celem tych szkodliwych przekierowań znajduje się w Brazylii, Indiach, Stanach Zjednoczonych, Singapurze, Indonezji, Argentynie, Francji, Meksyku, Pakistanie i Rosji.
„Wygląd zainfekowanych witryn jest zmieniany przez narzędzie FakeUpdate (znany również jako SocGholish). Wykorzystuje JavaScript do wyświetlania fałszywych powiadomień dla użytkowników w celu aktualizacji przeglądarki, oferując plik aktualizacji do pobrania” – powiedzieli badacze.
“Ofiara nie świadoma infekuje swój komputer za pomocą pliku zdalnego dostępu”
Sposób działania Parrot
Parrot TDS, wykorzystuje wstrzyknięty skrypt PHP na zaatakowanym serwerze do wyodrębnienie informacji o kliencie i przekazanie żądania do serwera dowodzenia (C2). Pokazuje odwiedzenia zainfekowanych witryn, a także umożliwia atakującemu wykonać dowolny kod na serwerze.
C2 odpowiada za pomocą kodu w postaci JavaScript, który jest wykonywany na komputerze klienta, narażając ofiary na potencjalne nowe zagrożenia. Oprócz złośliwego skryptu PHP backdoora zaobserwowano również powłokę internetową, która zapewnia przeciwnikowi stały zdalny dostęp do serwera WWW.
Avast powiedział, że ataki polegały na zachęcaniu użytkowników do pobierania złośliwego oprogramowania pod przykrywką nieuczciwych aktualizacji przeglądarki. Trojana zdalnego dostępu o nazwie „ctfmon.exe”, który zapewnia atakującemu pełny dostęp do gospodarz.
