Réseau Parrot Tds

Le système de direction du trafic Parrot (TDS) qui a été dévoilé plus tôt cette année a eu un impact plus important qu’on ne le pensait auparavant, selon de nouvelles recherches.

Sucuri, qui suit la même campagne depuis février 2019 sous le nom de « NDSW/NDSX », a déclaré que « le malware était l’une des principales infections » détectées en 2021, représentant plus de 61 000 sites Web.

Parrot TDS a été documenté en avril 2022 par la société tchèque de cybersécurité Avast, notant que le script PHP avait piégé les serveurs Web hébergeant plus de 16 500 sites Web pour servir de passerelle pour de nouvelles campagnes d’attaque.

Cela implique l’ajout d’un morceau de code malveillant à tous les fichiers JavaScript sur des serveurs Web compromis hébergeant des systèmes de gestion de contenu (CMS) tels que WordPress, qui sont à leur tour censés être piratés en tirant parti d’identifiants de connexion faibles et de plugins vulnérables.

La Cyber-Sécurité

En plus d’utiliser différentes tactiques d’obscurcissement pour dissimuler le code, le « JavaScript injecté peut également être trouvé bien indenté afin qu’il paraisse moins suspect à un observateur occasionnel », a déclaré Denis Sinegubko, chercheur à Sucuri. a dit.

Publicité
Réseau Parrot Tds
Variante JavaScript utilisant la variable ndsj

L’objectif du code JavaScript est de lancer la deuxième phase de l’attaque, qui consiste à exécuter un script PHP déjà déployé sur le ever et conçu pour recueillir des informations sur un visiteur du site (par exemple, adresse IP, référent, navigateur , etc.) et transmettre les détails à un serveur distant.

Réseau Parrot Tds
Logiciel malveillant PHP obscurci typique trouvé dans la campagne NDSW

La troisième couche de l’attaque arrive sous la forme d’un code JavaScript du serveur, qui agit comme un système de direction du trafic pour décider de la charge utile exacte à fournir à un utilisateur spécifique en fonction des informations partagées à l’étape précédente.

La Cyber-Sécurité

« Une fois que le TDS a vérifié l’éligibilité d’un visiteur de site spécifique, le script NDSX charge la charge utile finale à partir d’un site Web tiers », a déclaré Sinegubko. Le logiciel malveillant de troisième niveau le plus couramment utilisé est un téléchargeur JavaScript nommé FakeUpdates (alias SocGholish).

Rien qu’en 2021, Sucuri a déclaré avoir supprimé Parrot TDS de près de 20 millions de fichiers JavaScript trouvés sur des sites infectés. Au cours des cinq premiers mois de 2022, plus de 2 900 fichiers PHP et 1,64 million de fichiers JavaScript ont été observés contenant le malware.

« La campagne de logiciels malveillants NDSW est extrêmement réussie car elle utilise une boîte à outils d’exploitation polyvalente qui ajoute constamment de nouvelles vulnérabilités divulguées et 0-day », a expliqué Sinegubko.

« Une fois que le mauvais acteur a obtenu un accès non autorisé à l’environnement, il ajoute diverses portes dérobées et utilisateurs administrateurs CMS pour maintenir l’accès au site Web compromis longtemps après la fermeture de la vulnérabilité d’origine. »


Rate this post
Publicité
Article précédentUne nouvelle application pour smartphone aide à identifier la jaunisse sévère chez les nouveau-nés
Article suivantBitcoin, Dogecoin et Ethereum – Wrap européen 3 juin
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici