Investigadores de ciberseguridad detectaron un nuevo TDS (Sistema de Dirección de Tráfico), llamado loro, que utiliza decenas de miles de sitios web comprometidos.
Parrot TDS utiliza una gran red de sitios infectados
Parrot TDS ha infectado varios servidores web que albergan más de 16,500 sitios web, dijo Decodificado (Avast) investigadores. Los sitios web incluyen categorías como adulto, personal, Universidad, y gobierno local. Las redes TDS actúan como puertas de enlace, y en el caso de Parrot, los sitios infectados son alterados por un FakeUpdate (SocGholish) campaña que usa JavaScript para mostrar notificaciones falsas para actualizaciones del navegador, entrega de una herramienta de acceso remoto a las víctimas.
Los investigadores creen que Parrot TDS es similar a Prometheus TDS que salió a la luz la primavera pasada. Sin embargo, Loro es más robusto, con un alcance más poderoso. Los investigadores observaron “una mayor actividad del Parrot TDS en febrero 2022 al detectar archivos JavaScript sospechosos en servidores web comprometidos," según el informe. Después de realizar un análisis, los investigadores descubrieron varios tipos de campañas que utilizan Parrot. El propio TDS ha estado activo al menos desde octubre 2021.
Los sitios comprometidos no tienen nada en común entre sí., aparte de los servidores que albergan sitios CMS mal protegidos, como WordPress.
"Desde marzo 1, 2022 Marchar 29, 2022, protegimos más que 600,000 usuarios únicos de todo el mundo visiten estos sitios infectados. En este marco de tiempo, protegimos a la mayoría de los usuarios en Brasil, más que 73,000 usuarios únicos, India, casi 55,000 usuarios únicos, y más de 31,000 usuarios únicos de EE. UU.," el informe célebre.
Loro TDS: Explicación de la campaña de actualización falsa
La campaña FakeUpdate proporciona una segunda capa de defensa que utiliza una serie de mecanismos, como el uso de URL únicas que entregan contenido malicioso a un solo usuario específico. El último mecanismo de defensa es escanear la PC del usuario, realizado por varios códigos JavaScript enviados al usuario por el servidor FakeUpdate C2. El propósito de este escaneo es recolectar la siguiente información de la víctima:
Nombre de la computadora
Nombre de usuario
Nombre de dominio
Fabricante
Modelo
versión del BIOS
Productos antivirus y antispyware
Dirección MAC
Versión del sistema operativo
La carga útil final de la operación es una RAT, comúnmente llamado ctfmon.exe, imitar el nombre de un programa legítimo. La herramienta maliciosa se inicia automáticamente cuando se enciende la computadora configurando un HKCU SOFTWARE Microsoft Windows CurrentVersion Run clave de registro, el informe agregado.
Sistemas TDS previamente activos
Es curioso mencionar que, con la mejora de los navegadores, el uso de kits de explotación comenzó a declinar, y los sistemas TDS los reemplazaron. De hecho, los sistemas de distribución de tráfico eran un componente crucial de los kits de explotación, pero dado que los EK disminuyeron, TDS se hizo más popular en las campañas de distribución de malware. Un ejemplo de un TDS muy utilizado es BlackTDS, que surgió en 2018. Proporcionó muchos servicios., conocido como Cloud TDS. El paquete Cloud TDS manejó la ingeniería social y la redirección a EK mientras evadía la detección por parte de investigadores y sandboxes.. BlackTDS también tuvo acceso a dominios nuevos con reputaciones limpias a través de HTTPS.
Otro ejemplo de TDS es ElTest, que se hundió en abril 2018. Fue considerado el TDS más grande antes de ser derribado..