Cerca de 16 mil e 500 sites foram infectados por um serviço malicioso de direcionamento criado para enviar malware. Esse novo sistema de direção de tráfego (TDS) ganhou o nome de Parrot. O problema afetou sites de universidades, governos locais, plataformas de conteúdo adulto e blogs pessoais.
O uso do Parrot é para campanhas maliciosas para redirecionar potenciais vítimas que correspondam a um perfil específico (local, idioma, sistema operacional, navegador) para recursos online, como sites de phishing e malware.
Atores de ameaças que executam campanhas maliciosas compram serviços TDS para filtrar o tráfego de entrada e enviá-lo para um destino final que serve conteúdo mal-intencionado.
Os TDS também são usados ??legitimamente por anunciantes e profissionais de marketing, e alguns desses serviços foram explorados no passado para facilitar campanhas de spam.
Serviço malicioso de redirecionamento da Web infecta 16.500 sites para enviar malware. Usado para distribuição RAT
O Parrot TDS foi descoberto por analistas de ameaças da Avast. Eles informam que esse Parrot faz parte de uma campanha chamada FakeUpdate. Essa campanha fornece trojans de acesso remoto (RATs) por meio de avisos falsos de atualização do navegador.
A campanha parece ter começado em fevereiro de 2022. No entanto, os sinais de atividade do Parrot foram rastreados desde outubro de 2021.
Uma das principais coisas que distingue o Parrot TDS de outros TDS é o quão difundido ele é e quantas vítimas em potencial ele tem, informa a Avast no relatório.
Os sites comprometidos que encontramos parecem não ter nada em comum além de servidores que hospedam sites CMS mal protegidos, como sites WordPress.
Os agentes de ameaças plantaram um web shell malicioso em servidores comprometidos e o copiaram para vários locais com nomes semelhantes que seguem um padrão de “papagaio”.
Além disso, os adversários usam um script de backdoor PHP que extrai informações do cliente e encaminha solicitações para o servidor de comando e controle (C2) do Parrot TDS.
Em alguns casos, os operadores usam um atalho sem o script PHP, enviando a solicitação diretamente para a infraestrutura do Parrot.
A Avast diz que somente em março de 2022 seus serviços protegeram mais de 600.000 de seus clientes de visitar esses sites infectados, indicando a escala massiva do gateway de redirecionamento Parrot.
A maioria dos usuários visados ??por esses redirecionamentos maliciosos estava no Brasil, Índia, Estados Unidos, Cingapura e Indonésia.
Como a Avast detalha no relatório, o perfil de usuário e a filtragem da campanha específica são tão ajustados que os agentes maliciosos podem ter como alvo uma pessoa específica de milhares de usuários redirecionados.
Isso é obtido enviando esse destino para URLs exclusivos de eliminação de carga útil com base em extensos hardware, software e perfis de rede.
A carga útil lançada nos sistemas dos alvos é o NetSupport Client RAT configurado para ser executado em modo silencioso, que fornece acesso direto às máquinas comprometidas.
Phishing de credenciais da Microsoft
Embora a campanha RAT seja atualmente a principal operação atendida pelo Parrot TDS, os analistas da Avast também notaram vários servidores infectados hospedando sites de phishing.
Essas páginas de destino se assemelham a uma página de login da Microsoft de aparência legítima, solicitando aos visitantes que insiram suas credenciais de conta.
Para usuários que navegam na web, ter uma solução de segurança de internet atualizada em execução o tempo todo é a melhor maneira de lidar com redirecionamentos maliciosos.
Para administradores de servidores da Web potencialmente comprometidos, a Avast recomenda as seguintes ações:
- Verifique todos os arquivos no servidor web com um antivírus.
- Substitua todos os arquivos JavaScript e PHP no servidor web pelos originais.
- Use a versão mais recente do CMS e as versões de plug-ins.
- Verifique se há tarefas em execução automática no servidor da Web, como tarefas cron.
- Sempre use credenciais exclusivas e fortes para cada serviço e todas as contas e adicione 2FA sempre que possível.
- Use alguns dos plugins de segurança disponíveis para WordPress e Joomla
Via BleepingComputer