Yeni araştırmaya göre, bu yılın başlarında ortaya çıkan Parrot trafik yönlendirme sistemi (TDS), önceden düşünülenden daha büyük bir etkiye sahip oldu.
Aynı kampanyayı Şubat 2019’dan bu yana “NDSW/NDSX” adı altında izleyen Sucuri, 61.000’den fazla web sitesini hesaba katarak 2021’de tespit edilen “kötü amaçlı yazılımların en önemli enfeksiyonlardan biri olduğunu” söyledi.
Parrot TDS, Nisan 2022’de Çek siber güvenlik şirketi Avast tarafından belgelendi ve PHP betiğinin 16.500’den fazla web sitesini barındıran web sunucularını daha sonraki saldırı kampanyaları için bir ağ geçidi görevi görmek üzere tuzağa düşürdüğünü belirtti.
Bu, WordPress gibi içerik yönetim sistemlerini (CMS) barındıran güvenliği ihlal edilmiş web sunucularındaki tüm JavaScript dosyalarına bir kötü amaçlı kod parçası eklemeyi içerir ve bunların da zayıf oturum açma kimlik bilgileri ve savunmasız eklentilerden yararlanarak ihlal edildiği söylenir.
Sucuri araştırmacısı Denis Sinegubko, kodu gizlemek için farklı şaşırtma taktikleri kullanmanın yanı sıra, “enjekte edilen JavaScript iyi girintili olarak bulunabilir, böylece sıradan bir gözlemciye daha az şüpheli görünür,” dedi. söz konusu.
 |
| ndsj değişkenini kullanan JavaScript varyantı |
JavaScript kodunun amacı, saldırının ikinci aşamasını başlatmaktır; bu, sunucuda zaten konuşlandırılmış olan ve bir site ziyaretçisi hakkında bilgi toplamak için tasarlanmış bir PHP betiğini yürütmektir (örn. , vb.) ve ayrıntıları uzak bir sunucuya iletin.
 |
| NDSW kampanyasında tipik olarak gizlenmiş PHP kötü amaçlı yazılım bulundu |
Saldırının üçüncü katmanı, bir önceki adımda paylaşılan bilgilere dayanarak belirli bir kullanıcı için teslim edilecek tam yükü kararlaştıran bir trafik yönlendirme sistemi görevi gören sunucudan bir JavaScript kodu biçiminde gelir.
Sinegubko, “TDS, belirli bir site ziyaretçisinin uygunluğunu doğruladıktan sonra, NDSX betiği son yükü üçüncü taraf bir web sitesinden yükler,” dedi. En yaygın olarak kullanılan üçüncü aşama kötü amaçlı yazılım, bir JavaScript indiricisidir. Sahte Güncellemeler (aka SocGholish).
Sadece 2021’de Sucuri, Parrot TDS’yi virüslü sitelerde bulunan yaklaşık 20 milyon JavaScript dosyasından kaldırdığını söyledi. 2022’nin ilk beş ayında, kötü amaçlı yazılımı içeren 2.900’den fazla PHP ve 1.64 milyon JavaScript dosyası gözlemlendi.
Sinegubko, “NDSW kötü amaçlı yazılım kampanyası son derece başarılı çünkü sürekli olarak yeni açıklanan ve 0 günlük güvenlik açıkları ekleyen çok yönlü bir istismar araç seti kullanıyor.”
“Kötü oyuncu çevreye yetkisiz erişim elde ettiğinde, orijinal güvenlik açığı kapatıldıktan çok sonra güvenliği ihlal edilmiş web sitesine erişimi sürdürmek için çeşitli arka kapılar ve CMS yönetici kullanıcıları ekler.”