Pesquisadores de segurança cibernética detectaram um novo TDS (Sistema de Direção de Tráfego), chamado papagaio, que usa dezenas de milhares de sites comprometidos.
Parrot TDS usa uma grande rede de sites infectados
O Parrot TDS infectou vários servidores web que hospedam mais de 16,500 sites, disse Decodificado (avast) pesquisadores. Os sites incluem categorias como adulto, pessoal, universidade, e governo local. As redes TDS atuam como gateways, e no caso do Papagaio, os sites infectados são alterados por um FakeUpdate (SocGholish) campanha que usa JavaScript para exibir notificações falsas para atualizações do navegador, entrega de uma ferramenta de acesso remoto às vítimas.
Os pesquisadores acreditam que o Parrot TDS é semelhante ao Prometheus TDS que saiu na natureza na última primavera. Contudo, Papagaio é mais robusto, com um alcance mais poderoso. Os pesquisadores observaram “aumento da atividade do Parrot TDS em fevereiro 2022 detectando arquivos JavaScript suspeitos em servidores web comprometidos," De acordo com o relatório. Após realizar uma análise, os pesquisadores descobriram vários tipos de campanhas que usam o Parrot. O próprio TDS está ativo pelo menos desde outubro 2021.
Os sites comprometidos não têm nada em comum entre si, além de servidores que hospedam sites CMS mal protegidos, como WordPress.
“A partir de março 1, 2022 para Março 29, 2022, protegemos mais de 600,000 usuários únicos de todo o mundo de visitar esses sites infectados. Neste período de tempo, protegemos o maior número de usuários no Brasil, mais que 73,000 usuários únicos, Índia, por pouco 55,000 usuários únicos, e mais que 31,000 usuários únicos dos EUA," o relatório notado.
Papagaio TDS: a campanha de atualização falsa explicada
A campanha FakeUpdate fornece uma segunda camada de defesa que usa vários mecanismos, como usar URLs exclusivos que entregam conteúdo malicioso a apenas um usuário específico. O último mecanismo de defesa é escanear o PC do usuário, realizado por vários códigos JavaScript enviados ao usuário pelo servidor FakeUpdate C2. O objetivo desta verificação é coletar as seguintes informações da vítima:
Nome do computador
Nome do usuário
Nome do domínio
Fabricante
Modelo
Versão do BIOS
Produtos antivírus e antispyware
Endereço MAC
versão do SO
A carga útil final da operação é um RAT, comumente chamado de ctfmon.exe, imitando o nome de um programa legítimo. A ferramenta maliciosa é iniciada automaticamente quando o computador é ligado, definindo um HKCU SOFTWARE Microsoft Windows CurrentVersion Run Chave do registro, o relatório adicionado.
Sistemas TDS anteriormente ativos
É curioso mencionar que, com a melhoria dos navegadores, o uso de kits de exploração começou a declinar, e os sistemas TDS os substituíram. De fato, sistemas de distribuição de tráfego eram um componente crucial dos kits de exploração, mas como os EKs diminuíram, TDS tornou-se mais popular em campanhas de distribuição de malware. Um exemplo de um TDS amplamente utilizado é BlackTDS, que surgiu em 2018. Prestou muitos serviços, conhecido como Cloud TDS. O pacote Cloud TDS lidou com engenharia social e redirecionamento para EKs, evitando a detecção por pesquisadores e sandboxes. BlackTDS também teve acesso a novos domínios com reputações limpas em HTTPS.
Outro exemplo de TDS é ElTest, que foi afundado em abril 2018. Foi considerado o maior TDS antes de ser derrubado.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: