Pesquisadores descobrem malware que controla milhares de sites na rede Parrot TDS

O sistema de direção de tráfego Parrot (TDS) que veio à tona no início deste ano teve um impacto maior do que se pensava anteriormente, de acordo com uma nova pesquisa.

A Sucuri, que acompanha a mesma campanha desde fevereiro de 2019 sob o nome “NDSW/NDSX”, informou que “o malware foi uma das principais infecções” detectadas em 2021, contabilizando mais de 61.000 sites.

O Parrot TDS foi documentado em abril de 2022 pela empresa tcheca de segurança cibernética Avast, observando que o script PHP havia enredado servidores da Web que hospedavam mais de 16.500 sites para atuar como um gateway para outras campanhas de ataque.

Isso envolve anexar um código malicioso a todos os arquivos JavaScript em servidores da Web comprometidos que hospedam sistemas de gerenciamento de conteúdo (CMS), como o WordPress, que por sua vez, são violados ao tirar proveito de credenciais de login fracas e plugins vulneráveis.

Além de usar diferentes táticas de ofuscação para ocultar o código, o “JavaScript injetado também pode ser encontrado bem recuado para que pareça menos suspeito para um observador casual”, informou o pesquisador da Sucuri Denis Sinegubko.

Variante JavaScript usando a variável ndsj

O objetivo do código JavaScript é iniciar a segunda fase do ataque, que é executar um script PHP já implantado no servidor e projetado para coletar informações sobre um visitante do site (por exemplo, endereço IP, referenciador, navegador, etc.) e transmitir os detalhes para um servidor remoto.

A terceira camada do ataque chega na forma de um código JavaScript do servidor, que atua como um sistema de direção de tráfego para decidir a carga exata a ser entregue para um usuário específico com base nas informações compartilhadas na etapa anterior.

“Depois que o TDS verifica a elegibilidade de um visitante específico do site, o script NDSX carrega a carga final de um site de terceiros”, informou Sinegubko. O malware de terceiro estágio mais comumente usado é um downloader de JavaScript chamado FakeUpdates (também conhecido como SocGholish).

Somente em 2021, a Sucuri disse que removeu o Parrot TDS de quase 20 milhões de arquivos JavaScript encontrados em sites infectados. Nos primeiros cinco meses de 2022, mais de 2.900 PHP e 1,64 milhão de arquivos JavaScript foram observados contendo o malware.

“A campanha de malware NDSW é extremamente bem-sucedida porque usa um kit de ferramentas de exploração versátil que adiciona constantemente novas vulnerabilidades divulgadas e de Zero-Day”, explicou Sinegubko.

“Depois que o agente mal-intencionado obtém acesso não autorizado ao ambiente, ele adiciona vários backdoors e usuários administrativos do CMS para manter o acesso ao site comprometido muito tempo depois que a vulnerabilidade original for fechada.”

Este artigo é uma tradução de: https://thehackernews.com/2022/06/researchers-uncover-malware-controlling.html  (Autor: Ravie Lakshmanan)