Cybersikkerhedsforskere opdagede en ny TDS (Trafikretningssystem), kaldet papegøje, der bruger titusindvis af kompromitterede websteder.
Parrot TDS bruger et stort netværk af inficerede websteder
Parrot TDS har inficeret flere webservere, der hoster mere end 16,500 hjemmesider, sagde Decoded (Avast) forskere. Hjemmesiderne omfatter kategorier såsom voksen, personlig, universitet, og lokale myndigheder. TDS-netværk fungerer som gateways, og i tilfældet med papegøje, de inficerede websteder ændres af en FakeUpdate (SocGholish) kampagne, der bruger JavaScript til at vise falske meddelelser om browseropdateringer, at levere et fjernadgangsværktøj til ofrene.
Forskere mener, at Parrot TDS ligner Prometheus TDS, der kom ud i naturen sidste forår. Men, Papegøje er mere robust, med en mere kraftfuld rækkevidde. Forskerne observerede "øget aktivitet af Parrot TDS i februar 2022 ved at opdage mistænkelige JavaScript-filer på kompromitterede webservere,” ifølge rapporten. Efter at have udført en analyse, forskerne opdagede flere typer kampagner, der bruger Parrot. TDS selv har været aktiv i det mindste siden oktober 2021.
De kompromitterede websteder har intet til fælles med hinanden, bortset fra servere, der hoster dårligt sikrede CMS-websteder, såsom WordPress.
"Fra marts 1, 2022 til marts 29, 2022, vi beskyttede mere end 600,000 unikke brugere fra hele verden fra at besøge disse inficerede websteder. I denne tidsramme, vi beskyttede flest brugere i Brasilien, mere end 73,000 unikke brugere, Indien, næsten 55,000 unikke brugere, og mere end 31,000 unikke brugere fra USA," rapporten bemærkes.
Papegøje TDS: den falske opdateringskampagne forklaret
FakeUpdate-kampagnen giver et andet lag af forsvar, der bruger en række mekanismer, såsom at bruge unikke URL'er, der leverer ondsindet indhold til kun én bestemt bruger. Den sidste forsvarsmekanisme er scanning af brugerens pc, udført af flere JavaScript-koder sendt til brugeren af FakeUpdate C2-serveren. Formålet med denne scanning er at indsamle følgende oplysninger fra offeret:
Navn på pc'en
brugernavn
Domænenavn
Fabrikant
Model
BIOS version
Antivirus- og antispywareprodukter
Mac-adresse
OS-version
Den endelige nyttelast af operationen er en RAT, almindeligvis kaldet ctfmon.exe, efterligner navnet på et lovligt program. Det ondsindede værktøj startes automatisk, når computeren tændes ved at indstille en HKCU SOFTWARE Microsoft Windows CurrentVersion Run indskrive nøglen, rapporten tilføjet.
Tidligere aktive TDS-systemer
Det er nysgerrig at nævne det, med forbedring af browsere, brugen af udnyttelsessæt begyndte at falde, og TDS-systemer erstattede dem. Faktisk, trafikdistributionssystemer var en afgørende komponent i udnyttelsessæt, men da EKs faldt, TDS blev mere populært i malware-distributionskampagner. Et eksempel på en meget brugt TDS er BlackTDS, som dukkede op i 2018. Det gav masser af tjenester, kendt som Cloud TDS. Cloud TDS-pakken håndterede social engineering og omdirigering til EK'er, mens den undgik opdagelse af forskere og sandkasser. BlackTDS havde også adgang til friske domæner med rent omdømme over HTTPS.
Et andet eksempel på en TDS er ElTest, som blev synkehullet i april 2018. Det blev betragtet som den største TDS, før det blev taget ned.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: