Cybersecurity-onderzoekers hebben een nieuwe TDS ontdekt (Verkeersrichtingssysteem), genaamd Papegaai, die tienduizenden gecompromitteerde websites gebruikt.
Parrot TDS gebruikt een groot netwerk van geïnfecteerde sites
Parrot TDS heeft meerdere webservers geïnfecteerd die meer dan 16,500 websites, zei gedecodeerd (Avast) onderzoekers. De websites bevatten categorieën zoals volwassen, persoonlijk, Universiteit, en lokale overheid. TDS-netwerken fungeren als gateways, en in het geval van Parrot, de geïnfecteerde sites worden gewijzigd door een FakeUpdate (SocGholish) campagne die JavaScript gebruikt om valse meldingen voor browserupdates weer te geven, het leveren van een tool voor externe toegang aan slachtoffers.
Onderzoekers geloven dat Parrot TDS vergelijkbaar is met Prometheus TDS die afgelopen lente in het wild uitkwam. Echter, Papegaai is robuuster, met een krachtiger bereik. De onderzoekers observeerden "verhoogde activiteit van de Parrot TDS in februari" 2022 door verdachte JavaScript-bestanden op gecompromitteerde webservers te detecteren," volgens het rapport. Na het uitvoeren van een analyse, de onderzoekers ontdekten verschillende soorten campagnes die Parrot . gebruiken. De TDS zelf is in ieder geval sinds oktober actief 2021.
De gecompromitteerde sites hebben niets met elkaar gemeen, behalve servers die slecht beveiligde CMS-sites hosten, zoals WordPress.
“Vanaf maart 1, 2022 marcheren 29, 2022, we beschermden meer dan 600,000 unieke gebruikers van over de hele wereld om deze geïnfecteerde sites te bezoeken. In dit tijdsbestek, we hebben de meeste gebruikers in Brazilië beschermd, meer dan 73,000 unieke gebruikers, India, bijna 55,000 unieke gebruikers, en meer dan 31,000 unieke gebruikers uit de VS," het verslag bekend.
Papegaai TDS: de nep-updatecampagne uitgelegd
De FakeUpdate-campagne biedt een tweede verdedigingslaag die een aantal mechanismen gebruikt, zoals het gebruik van unieke URL's die schadelijke inhoud leveren aan slechts één specifieke gebruiker. Het laatste verdedigingsmechanisme is het scannen van de pc van de gebruiker, uitgevoerd door verschillende JavaScript-codes die door de FakeUpdate C2-server naar de gebruiker zijn verzonden. Het doel van deze scan is om de volgende informatie van het slachtoffer te verzamelen::
Naam van de pc
Gebruikersnaam
Domeinnaam
Fabrikant
Model
BIOS-versie
Antivirus- en antispywareproducten
Mac adres
OS-versie
De uiteindelijke lading van de operatie is een RAT, gewoonlijk ctfmon.exe genoemd, het nabootsen van de naam van een legitiem programma. De schadelijke tool wordt automatisch gestart wanneer de computer wordt ingeschakeld door een HKCU SOFTWARE Microsoft Windows CurrentVersion Run registersleutel, het rapport toegevoegd.
Eerder actieve TDS-systemen
Het is merkwaardig om dat te vermelden, met de verbetering van browsers, het gebruik van exploitkits begon af te nemen, en TDS-systemen hebben ze vervangen. In feite, verkeersdistributiesystemen waren een cruciaal onderdeel van exploitkits, maar aangezien EK's zijn afgenomen, TDS werd populairder in campagnes voor het verspreiden van malware. Een voorbeeld van een veelgebruikte TDS is: BlackTDS, die ontstond in 2018. Het bood tal van diensten, bekend als Cloud TDS. Het Cloud TDS-pakket handelde social engineering en omleiding naar EK's af en ontweek detectie door onderzoekers en sandboxen. BlackTDS had ook toegang tot nieuwe domeinen met een schone reputatie via HTTPS.
Een ander voorbeeld van een TDS is: ElTest, die in april verzonken was 2018. Het werd beschouwd als de grootste TDS voordat het werd verwijderd.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: