Вредоносная служба веб-перенаправления внедрила "троян" в 16 500 сайтов
Новая система направления трафика (TDS) под названием Parrot (Попугай) работает на серверах, на которых размещены более 16 тысяч веб-сайтов университетов, местных органов власти, платформ для контента для взрослых и персональных блогов.
Parrot используется для вредоносных кампаний, перенаправляющих потенциальных жертв, соответствующих определенному профилю (местоположение, язык, операционная система, браузер), на онлайн-ресурсы, такие как фишинговые сайты и сайты-ловушки для "забрасывания" вредоносных программ в систему пользователя.
Хакеры, проводящие вредоносные кампании, покупают услуги TDS для фильтрации входящего трафика и отправки его в конечный пункт назначения, на котором размещают свое злодейское ПО.
Система перенаправления трафика (TDS) является вполне легальным и законным инструментом в работе рекламодателей и маокетологов/ Однако некоторые службы перенаправлении в прошлом были скомпрометированы и уже использовались для рассылки вредоносного спама.
Parrot для RAT
Parrot TDS был обнаружен аналитиками компании Avast, которые сообщили, что в настоящее время "Попугай" используется как "Троянский конь". Хакеры проводят операцию с названием FakeUpdate для доставки трояна удаленного доступа (RAT) через поддельные уведомления об обновлении браузера.
Кампания, по-видимому, началась в феврале 2022 года, но признаки активности Parrot были обнаружены еще в октябре 2021 года.
"Одна из главных отличительных особенностей Parrot TDS от других сервисов перенаправления - это то, насколько широко он распространен и как много у него потенциальных жертв", - комментирует Avast в своем отчете.
"Обнаруженные нами взломанные веб-сайты, похоже, не имеют ничего общего, кроме серверов, на которых размещены плохо защищенные сайты CMS, например, WordPress".
Хакеры разместили вредоносную веб-оболочку на взломанных серверах и скопировали ее в различные места под похожими именами, которые следуют шаблону "parroting".
Кроме того, злоумышленники используют бэкдор-скрипт PHP, который извлекает информацию о клиенте и пересылает запросы на командно-контрольный (C2) сервер Parrot TDS.
В некоторых случаях операторы используют ярлык без PHP-скрипта, отправляя запрос напрямую в инфраструктуру Parrot.
Компания Avast утверждает, что только в марте 2022 года ее службы защитили более 600 000 своих клиентов от инфицирования сайтов, что свидетельствует о массовом масштабе шлюза перенаправления Parrot.
Большинство пользователей, на которых были направлены эти вредоносные перенаправления, находились в Бразилии, Индии, США, Сингапуре и Индонезии.
Как отмечается в отчете Avast, профиль пользователей и фильтрация этой кампании настолько тонко настроены, что злоумышленники могут выбрать конкретного человека из тысяч перенаправленных пользователей.
Это достигается путем наведения цели на уникальные URL-адреса с трояном, предварительно собрав полную информацию о жертве: профили оборудования, программного обеспечения и сети.
Полезная нагрузка, сбрасываемая на системы целей, представляет собой NetSupport Client RAT, настроенный на работу в тихом режиме, что обеспечивает прямой доступ к взломанным машинам.
Фишинг учетных данных Microsoft
Хотя RAT-кампания в настоящее время является основной операцией, обслуживаемой Parrot TDS, аналитики Avast также заметили несколько зараженных серверов, на которых размещены фишинговые сайты.
Эти целевые страницы внешне очень похожи на реальную страницу входа в систему Microsoft, где посетителям предлагается ввести учетные данные своей учетной записи.
Для пользователей, просматривающих веб-страницы, постоянное наличие актуально обновляемой системы безопасности устройства является лучшим способом борьбы с вредоносными перенаправлениями.
Администраторам потенциально скомпрометированных веб-серверов Avast рекомендует предпринять следующие действия:
- Проверить все файлы на веб-сервере антивирусом.
- Замените все файлы JavaScript и PHP на веб-сервере на оригинальные.
- Использовать последнюю версию CMS и плагинов.
- Проверить наличие автоматически выполняемых задач на веб-сервере, например, заданий cron.
- Всегда использовать уникальные и надежные учетные данные для каждого сервиса и всех аккаунтов, а также добавить 2FA, где это возможно.
- Использовать плагины безопасности для WordPress и Joomla.