Parrot adlı yeni bir trafik yönlendirme sisteminin (TDS), daha fazla kötü amaçlı kampanya başlatmak için on binlerce güvenliği ihlal edilmiş web sitesinden yararlandığı tespit edildi.
Avast araştırmacıları Pavel Novák ve Jan Rubín, “TDS, yetişkinlere yönelik içerik siteleri, kişisel web siteleri, üniversite siteleri ve yerel yönetim sitelerinden 16.500’den fazla web sitesine ev sahipliği yapan çeşitli web sunucularına bulaştı.” dedim Geçen hafta yayınlanan bir raporda.
Trafik yönlendirme sistemleri, bir hedefin ilgi çekici olup olmadığını belirlemek için tehdit aktörleri tarafından kullanılır ve kontrolleri altındaki kötü amaçlı bir alana yönlendirilmeleri gerekir ve sistemlerini kötü amaçlı yazılımlarla tehlikeye atmak için bir ağ geçidi görevi görür.
Bu Ocak ayının başlarında, BlackBerry Araştırma ve İstihbarat Ekibi, Campo Loader, Hancitor, IcedID, QBot, Buer Loader ve SocGholish kötü amaçlı yazılımlarını dağıtmak için siber suçlu grupları tarafından düzenlenen farklı kampanyalarda kullanılmaya başlanan Prometheus adlı başka bir TDS’nin ayrıntılarını verdi.
Parrot TDS’yi öne çıkaran şey, operatörlerinin yönetici erişimi elde etmek için öncelikle zayıf güvenli WordPress sitelerini barındıran sunucuları seçmesi nedeniyle Şubat ve Mart 2022’de artan etkinlikle birlikte geniş erişimidir.
Bu kötü niyetli yönlendirmeler tarafından hedeflenen kullanıcıların çoğu Brezilya, Hindistan, ABD, Singapur, Endonezya, Arjantin, Fransa, Meksika, Pakistan ve Rusya’da bulunuyor.
Araştırmacılar, “Enfekte olmuş sitelerin görünümleri, kullanıcıların tarayıcılarını güncellemeleri için sahte bildirimler görüntülemek için JavaScript kullanan ve indirmek için bir güncelleme dosyası sunan FakeUpdate (SocGholish olarak da bilinir) adlı bir kampanya tarafından değiştirilir” dedi. “Mağdurlara teslim edildiği gözlemlenen dosya bir uzaktan erişim aracıdır.”
Parrot TDS, güvenliği ihlal edilmiş sunucuda barındırılan enjekte edilmiş bir PHP betiği aracılığıyla, istemci bilgilerini çıkarmak ve bulaşmış sitelerden birini ziyaret ettikten sonra isteği komuta ve kontrol (C2) sunucusuna iletmek için tasarlanmıştır. sunucuda rasgele kod yürütme gerçekleştirin.
C2 sunucusundan gelen yanıt, istemci makinede yürütülen ve kurbanları potansiyel yeni tehditlere maruz bırakan JavaScript kodu biçimini alır. Kötü niyetli arka kapı PHP betiğinin yanında, düşmana web sunucusuna kalıcı uzaktan erişim sağlayan bir web kabuğu da gözlendi.
FakeUpdate kampanyasının arkasındaki suçlu aktörleri Parrot TDS’nin yaygın bir müşterisi olarak nitelendiren Avast, saldırıların, kullanıcıların sahte tarayıcı güncellemeleri kisvesi altında kötü amaçlı yazılım indirmesini istemekle ilgili olduğunu söyledi. Göçebe.