Meer dan 16.500 sites gehackt om malware te verspreiden via webomleidingsservice

Servicio de redireccionamiento web de malware Nachrichten

Er is een nieuw Traffic Direction System (TDS) genaamd Parrot ontdekt dat tienduizenden gecompromitteerde websites gebruikt om verdere kwaadaardige campagnes te lanceren.

„De TDS heeft verschillende webservers geïnfecteerd die meer dan 16.500 websites hosten, variërend van sites met inhoud voor volwassenen, persoonlijke websites, universiteitssites en lokale overheidssites,“ Avast-onderzoekers Pavel Novák en Jan Rubín zei in een rapport dat vorige week werd gepubliceerd.

Verkeersrichtingssystemen worden door dreigingsactoren gebruikt om te bepalen of een doelwit al dan niet interessant is en moeten worden omgeleid naar een kwaadaardig domein onder hun controle en dienen als een toegangspoort om hun systemen te compromitteren met malware.

Eerder deze januari heeft het BlackBerry Research and Intelligence Team een ​​andere TDS genoemd, Prometheus genaamd, die is gebruikt in verschillende campagnes die door cybercriminelen zijn opgezet om Campo Loader, Hancitor, IcedID, QBot, Buer Loader en SocGholish-malware te verspreiden.

Wat Parrot TDS onderscheidt, is het enorme bereik, met verhoogde activiteit waargenomen in februari en maart 2022, omdat de beheerders voornamelijk servers hebben uitgekozen die slecht beveiligde WordPress-sites hosten om beheerderstoegang te krijgen.

De meeste gebruikers die het doelwit zijn van deze kwaadaardige omleidingen bevinden zich in Brazilië, India, de VS, Singapore, Indonesië, Argentinië, Frankrijk, Mexico, Pakistan en Rusland.

„Het uiterlijk van de geïnfecteerde sites wordt gewijzigd door een campagne genaamd FakeUpdate (ook bekend als SocGholish), die JavaScript gebruikt om valse meldingen weer te geven voor gebruikers om hun browser bij te werken, waarbij een updatebestand wordt aangeboden om te downloaden“, aldus de onderzoekers. „Het geobserveerde bestand dat aan de slachtoffers is afgeleverd, is een hulpmiddel voor externe toegang.“

Parrot TDS, via een geïnjecteerd PHP-script dat wordt gehost op de gecompromitteerde server, is ontworpen om clientinformatie te extraheren en het verzoek door te sturen naar de command-and-control (C2) -server bij het bezoeken van een van de geïnfecteerde sites, naast het toestaan ​​van de aanvaller om uitvoering van willekeurige code uitvoeren op de server.

Het antwoord van de C2-server heeft de vorm van JavaScript-code die wordt uitgevoerd op de clientcomputer, waardoor de slachtoffers worden blootgesteld aan potentiële nieuwe bedreigingen. Naast het kwaadaardige backdoor PHP-script is ook een webshell te zien die de tegenstander blijvende externe toegang tot de webserver verleent.

Avast noemde de criminele actoren achter de FakeUpdate-campagne een veelvoorkomende klant van Parrot TDS en zei dat de aanvallen erin bestonden gebruikers ertoe aan te zetten malware te downloaden onder het mom van frauduleuze browserupdates, een trojan voor externe toegang genaamd „ctfmon.exe“ die de aanvaller volledige toegang geeft tot de gastheer.

David
Rate author
Hackarizona