{"id":180635,"date":"2022-06-03T09:06:51","date_gmt":"2022-06-03T11:06:51","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-chercheurs-decouvrent-des-logiciels-malveillants-controlant-des-milliers-de-sites-dans-le-reseau-parrot-tds\/"},"modified":"2022-06-03T09:06:52","modified_gmt":"2022-06-03T11:06:52","slug":"des-chercheurs-decouvrent-des-logiciels-malveillants-controlant-des-milliers-de-sites-dans-le-reseau-parrot-tds","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-chercheurs-decouvrent-des-logiciels-malveillants-controlant-des-milliers-de-sites-dans-le-reseau-parrot-tds\/","title":{"rendered":"Des chercheurs d\u00e9couvrent des logiciels malveillants contr\u00f4lant des milliers de sites dans le r\u00e9seau Parrot TDS"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Le syst\u00e8me de direction du trafic Parrot (TDS) qui a \u00e9t\u00e9 d\u00e9voil\u00e9 plus t\u00f4t cette ann\u00e9e a eu un impact plus important qu&#8217;on ne le pensait auparavant, selon de nouvelles recherches.<\/p>\n<p>Sucuri, qui suit la m\u00eame campagne depuis f\u00e9vrier 2019 sous le nom de &#8220;NDSW\/NDSX&#8221;, a d\u00e9clar\u00e9 que &#8220;le malware \u00e9tait l&#8217;une des principales infections&#8221; d\u00e9tect\u00e9es en 2021, repr\u00e9sentant plus de 61 000 sites Web.<\/p>\n<p>Parrot TDS a \u00e9t\u00e9 document\u00e9 en avril 2022 par la soci\u00e9t\u00e9 tch\u00e8que de cybers\u00e9curit\u00e9 Avast, notant que le script PHP avait pi\u00e9g\u00e9 les serveurs Web h\u00e9bergeant plus de 16 500 sites Web pour servir de passerelle pour de nouvelles campagnes d&#8217;attaque.<\/p>\n<p>Cela implique l&#8217;ajout d&#8217;un morceau de code malveillant \u00e0 tous les fichiers JavaScript sur des serveurs Web compromis h\u00e9bergeant des syst\u00e8mes de gestion de contenu (CMS) tels que WordPress, qui sont \u00e0 leur tour cens\u00e9s \u00eatre pirat\u00e9s en tirant parti d&#8217;identifiants de connexion faibles et de plugins vuln\u00e9rables.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/backup-gitlab\" target=\"_blank\" title=\"DevOps backup\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/Fronton-un-botnet-IoT-russe-concu-pour-mener-des-campagnes.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>En plus d&#8217;utiliser diff\u00e9rentes tactiques d&#8217;obscurcissement pour dissimuler le code, le &#8220;JavaScript inject\u00e9 peut \u00e9galement \u00eatre trouv\u00e9 bien indent\u00e9 afin qu&#8217;il paraisse moins suspect \u00e0 un observateur occasionnel&#8221;, a d\u00e9clar\u00e9 Denis Sinegubko, chercheur \u00e0 Sucuri. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.sucuri.net\/2022\/06\/analysis-massive-ndsw-ndsx-malware-campaign.html\" target=\"_blank\">a dit<\/a>.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left\">\n<tbody>\n<tr>\n<td style=\"text-align: center\"><img decoding=\"async\" alt=\"R\u00e9seau Parrot TDS\" border=\"0\" data-original-height=\"486\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/06\/1654254411_181_Des-chercheurs-decouvrent-des-logiciels-malveillants-controlant-des-milliers-de.jpg\" title=\"R\u00e9seau Parrot TDS\" \/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center\">Variante JavaScript utilisant la variable ndsj<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>L&#8217;objectif du code JavaScript est de lancer la deuxi\u00e8me phase de l&#8217;attaque, qui consiste \u00e0 ex\u00e9cuter un script PHP d\u00e9j\u00e0 d\u00e9ploy\u00e9 sur le ever et con\u00e7u pour recueillir des informations sur un visiteur du site (par exemple, adresse IP, r\u00e9f\u00e9rent, navigateur , etc.) et transmettre les d\u00e9tails \u00e0 un serveur distant.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left\">\n<tbody>\n<tr>\n<td style=\"text-align: center\"><img decoding=\"async\" alt=\"R\u00e9seau Parrot TDS\" border=\"0\" data-original-height=\"670\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/06\/1654254411_229_Des-chercheurs-decouvrent-des-logiciels-malveillants-controlant-des-milliers-de.jpg\" title=\"R\u00e9seau Parrot TDS\" \/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center\">Logiciel malveillant PHP obscurci typique trouv\u00e9 dans la campagne NDSW<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>La troisi\u00e8me couche de l&#8217;attaque arrive sous la forme d&#8217;un code JavaScript du serveur, qui agit comme un syst\u00e8me de direction du trafic pour d\u00e9cider de la charge utile exacte \u00e0 fournir \u00e0 un utilisateur sp\u00e9cifique en fonction des informations partag\u00e9es \u00e0 l&#8217;\u00e9tape pr\u00e9c\u00e9dente.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>&#8220;Une fois que le TDS a v\u00e9rifi\u00e9 l&#8217;\u00e9ligibilit\u00e9 d&#8217;un visiteur de site sp\u00e9cifique, le script NDSX charge la charge utile finale \u00e0 partir d&#8217;un site Web tiers&#8221;, a d\u00e9clar\u00e9 Sinegubko.  Le logiciel malveillant de troisi\u00e8me niveau le plus couramment utilis\u00e9 est un t\u00e9l\u00e9chargeur JavaScript nomm\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/js.fakeupdates\" target=\"_blank\">FakeUpdates<\/a> (alias SocGholish).<\/p>\n<p>Rien qu&#8217;en 2021, Sucuri a d\u00e9clar\u00e9 avoir supprim\u00e9 Parrot TDS de pr\u00e8s de 20 millions de fichiers JavaScript trouv\u00e9s sur des sites infect\u00e9s.  Au cours des cinq premiers mois de 2022, plus de 2 900 fichiers PHP et 1,64 million de fichiers JavaScript ont \u00e9t\u00e9 observ\u00e9s contenant le malware.<\/p>\n<p>&#8220;La campagne de logiciels malveillants NDSW est extr\u00eamement r\u00e9ussie car elle utilise une bo\u00eete \u00e0 outils d&#8217;exploitation polyvalente qui ajoute constamment de nouvelles vuln\u00e9rabilit\u00e9s divulgu\u00e9es et 0-day&#8221;, a expliqu\u00e9 Sinegubko.<\/p>\n<p>&#8220;Une fois que le mauvais acteur a obtenu un acc\u00e8s non autoris\u00e9 \u00e0 l&#8217;environnement, il ajoute diverses portes d\u00e9rob\u00e9es et utilisateurs administrateurs CMS pour maintenir l&#8217;acc\u00e8s au site Web compromis longtemps apr\u00e8s la fermeture de la vuln\u00e9rabilit\u00e9 d&#8217;origine.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/06\/researchers-uncover-malware-controlling.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Le syst\u00e8me de direction du trafic Parrot (TDS) qui a \u00e9t\u00e9 d\u00e9voil\u00e9 plus t\u00f4t cette ann\u00e9e a eu un impact plus important qu&#8217;on ne le pensait auparavant, selon de nouvelles recherches. Sucuri, qui suit la m\u00eame campagne depuis f\u00e9vrier 2019 sous le nom de &#8220;NDSW\/NDSX&#8221;, a d\u00e9clar\u00e9 que &#8220;le malware \u00e9tait l&#8217;une des principales infections&#8221; [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":180636,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[12848,4168,57101,4158,4165,4161,429,3073,133,4157,4159,4171,4170,4167,4589,4590,1558,4160,4163,4162,23683,4810,4172,4169,2783,73389,4166,4164],"class_list":["post-180635","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-chercheurs","tag-comment-pirater","tag-controlant","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-decouvrent","tag-des","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-logiciels","tag-malveillants","tag-milliers","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-parrot","tag-reseau","tag-securite-informatique","tag-securite-internet","tag-sites","tag-tds","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/180635","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=180635"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/180635\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/180636"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=180635"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=180635"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=180635"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}