Se detectó un nuevo sistema de dirección de tráfico (TDS) llamado Parrot que aprovecha decenas de miles de sitios web comprometidos para lanzar más campañas maliciosas.
«El TDS ha infectado varios servidores web que albergan más de 16.500 sitios web, desde sitios de contenido para adultos, sitios web personales, sitios universitarios y sitios del gobierno local», informaron los investigadores de Avast, Pavel Novák y Jan Rubín. dicho en un informe publicado la semana pasada.
Los sistemas de dirección de tráfico son utilizados por los actores de amenazas para determinar si un objetivo es de interés o no y debe ser redirigido a un dominio malicioso bajo su control y actuar como puerta de enlace para comprometer sus sistemas con malware.
A principios de enero, el equipo de investigación e inteligencia de BlackBerry detalló otro TDS llamado Prometheus que se ha utilizado en diferentes campañas montadas por grupos ciberdelincuentes para distribuir el malware Campo Loader, Hancitor, IcedID, QBot, Buer Loader y SocGholish.
Lo que hace que Parrot TDS se destaque es su enorme alcance, con una mayor actividad observada en febrero y marzo de 2022, ya que sus operadores han seleccionado principalmente servidores que alojan sitios de WordPress con poca seguridad para obtener acceso de administrador.
La mayoría de los usuarios objetivo de estos redireccionamientos maliciosos se encuentran en Brasil, India, EE. UU., Singapur, Indonesia, Argentina, Francia, México, Pakistán y Rusia.
«La apariencia de los sitios infectados se ve alterada por una campaña llamada FakeUpdate (también conocida como SocGholish), que usa JavaScript para mostrar avisos falsos para que los usuarios actualicen su navegador, ofreciendo un archivo de actualización para descargar», dijeron los investigadores. «El archivo que se observa que se entrega a las víctimas es una herramienta de acceso remoto».
Parrot TDS, a través de un script PHP inyectado alojado en el servidor comprometido, está diseñado para extraer información del cliente y reenviar la solicitud al servidor de comando y control (C2) al visitar uno de los sitios infectados, además de permitir que el atacante realizar la ejecución de código arbitrario en el servidor.
La respuesta del servidor C2 toma la forma de código JavaScript que se ejecuta en la máquina cliente, exponiendo a las víctimas a nuevas amenazas potenciales. También se observa junto con el script PHP malicioso de puerta trasera un shell web que otorga al adversario acceso remoto persistente al servidor web.
Llamando a los actores criminales detrás de la campaña FakeUpdate un cliente frecuente de Parrot TDS, Avast dijo que los ataques involucraron incitar a los usuarios a descargar malware bajo la apariencia de actualizaciones de navegador maliciosas, un troyano de acceso remoto llamado «ctfmon.exe» que le da al atacante acceso completo a el anfitrión.