I ricercatori della sicurezza informatica hanno rilevato un nuovo TDS (Sistema di direzione del traffico), chiamato Pappagallo, che utilizza decine di migliaia di siti Web compromessi.
Parrot TDS utilizza una vasta rete di siti infetti
Parrot TDS ha infettato più server web che ne ospitano più di 16,500 siti web, detto Decodificato (Avast) ricercatori. I siti Web includono categorie come adulti, personale, Università, e governo locale. Le reti TDS fungono da gateway, e nel caso di Parrot, i siti infetti vengono alterati da un FakeUpdate (SocGholish) campagna che utilizza JavaScript per visualizzare notifiche false per gli aggiornamenti del browser, fornendo uno strumento di accesso remoto alle vittime.
I ricercatori ritengono che Parrot TDS sia simile al Prometheus TDS uscito in natura la scorsa primavera. Tuttavia, Il pappagallo è più robusto, con una portata più potente. I ricercatori hanno osservato “una maggiore attività del Parrot TDS a febbraio 2022 rilevando file JavaScript sospetti su server Web compromessi,” secondo il rapporto. Dopo aver eseguito un'analisi, i ricercatori hanno scoperto diversi tipi di campagne che utilizzano Parrot. Lo stesso TDS è attivo almeno da ottobre 2021.
I siti compromessi non hanno nulla in comune tra loro, a parte i server che ospitano siti CMS poco protetti, come WordPress.
“Da marzo 1, 2022 marciare 29, 2022, abbiamo protetto più di 600,000 utenti unici di tutto il mondo dalla visita di questi siti infetti. In questo lasso di tempo, abbiamo protetto la maggior parte degli utenti in Brasile, più di 73,000 utenti unici, India, quasi 55,000 utenti unici, e più di 31,000 utenti unici dagli Stati Uniti," il rapporto noto.
Pappagallo TDS: Spiegazione della falsa campagna di aggiornamento
La campagna FakeUpdate fornisce un secondo livello di difesa che utilizza una serie di meccanismi, come l'utilizzo di URL univoci che forniscono contenuti dannosi a un solo utente specifico. L'ultimo meccanismo di difesa è la scansione del PC dell'utente, eseguita da diversi codici JavaScript inviati all'utente dal server FakeUpdate C2. Lo scopo di questa scansione è raccogliere le seguenti informazioni dalla vittima:
Nome del PC
nome utente
Nome del dominio
Produttore
Modello
Versione del BIOS
Prodotti antivirus e antispyware
Indirizzo MAC
Versione del sistema operativo
Il carico utile finale dell'operazione è un RAT, comunemente chiamato ctfmon.exe, imitando il nome di un programma legittimo. Lo strumento dannoso viene avviato automaticamente all'accensione del computer impostando un HKCU SOFTWARE Microsoft Windows CurrentVersion Run chiave di registro, il rapporto ha aggiunto.
Sistemi TDS precedentemente attivi
È curioso dirlo, con il miglioramento dei browser, l'uso di exploit kit iniziò a diminuire, e i sistemi TDS li hanno sostituiti. Infatti, i sistemi di distribuzione del traffico erano una componente cruciale degli exploit kit, ma poiché gli EK sono diminuiti, TDS è diventato più popolare nelle campagne di distribuzione di malware. Un esempio di un TDS ampiamente utilizzato è BlackTDS, che è emerso in 2018. Ha fornito molti servizi, noto come Cloud TDS. Il pacchetto Cloud TDS ha gestito l'ingegneria sociale e il reindirizzamento agli EK eludendo il rilevamento da parte di ricercatori e sandbox. BlackTDS ha anche avuto accesso a nuovi domini con una reputazione pulita su HTTPS.
Un altro esempio di TDS è ElTest, che è stato inghiottito in aprile 2018. Era considerato il più grande TDS prima di essere abbattuto.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: