Scoperto un nuovo Traffic Direction System (TDS) che utilizza decine di migliaia di siti web compromessi e che sta raggiungendo utenti da tutto il mondo. Parrot TDS, così denominato, ha infettato vari web server che ospitano più di 16.500 siti web, da siti di contenuti per adulti, siti web personali a siti universitari e siti del governo locale.

Parrot TDS funge da gateway per ulteriori campagne dannose per raggiungere potenziali vittime. In questo caso particolare, l’aspetto dei siti infetti viene alterato da una campagna chiamata FakeUpdate (nota anche come SocGholish), che utilizza JavaScript per visualizzare avvisi falsi per permettere agli utenti di aggiornare il proprio browser, offrendo un file di aggiornamento da scaricare. Il file osservato mentre viene consegnato alle vittime è uno strumento di accesso remoto.

Gli esperti hanno individuato due diverse versioni (proxy e direct), e diversi tipi di campagne che utilizzano Parrot TDS. In entrambi i casi sono stati compromessi i server web con differenti content management systems (CMS). WordPress in varie versioni, inclusa l’ultima o Joomla, sono state interessate. Gli esperti presumono comunque, dal momento che i server web compromessi non hanno nulla in comune, che gli aggressori potrebbero aver sfruttato server poco protetti, con credenziali di accesso deboli, per ottenere l’accesso.

La maggiore attività di Parrot TDS è stata identificata a febbraio 2022 rilevando file JavaScript sospetti su server Web compromessi. In base alla comparsa dei primi campioni e alla data di registrazione dei domini Command and Control (C2) che utilizza, Parrot TDS risulta attivo da ottobre 2021.

Per alcuni aspetti risulta simile al TDS Prometheus apparso nella primavera del 2021, tuttavia, a rendere unico Parrot TDS è la sua robustezza e la sua vasta portata che gli conferiscono il potenziale per infettare milioni di utenti.  

“I siti Web compromessi che abbiamo trovato sembrano non avere nulla in comune a parte i server che ospitano siti CMS poco protetti, come i siti WordPress. Dal 1° marzo 2022 al 29 marzo 2022, abbiamo protetto più di 600.000 utenti unici di tutto il mondo dalla visita di questi siti infetti. In questo lasso di tempo, abbiamo protetto la maggior parte degli utenti in Brasile, più di 73.000 utenti unici, India, quasi 55.000 utenti unici e più di 31.000 utenti unici dagli Stati Uniti”.

 

https://decoded.avast.io/janrubin/parrot-tds-takes-over-web-servers-and-threatens-millions/

Twitter
Visit Us
LinkedIn
Share
YOUTUBE