Un nouveau système de direction du trafic (TDS) appelé Parrot a été repéré en exploitant des dizaines de milliers de sites Web compromis pour lancer de nouvelles campagnes malveillantes.
« Le TDS a infecté divers serveurs Web hébergeant plus de 16 500 sites Web, allant de sites de contenu pour adultes, de sites Web personnels, de sites universitaires et de sites gouvernementaux locaux », ont déclaré les chercheurs d’Avast, Pavel Novák et Jan Rubín. mentionné dans un rapport publié la semaine dernière.
Les systèmes de direction du trafic sont utilisés par les acteurs de la menace pour déterminer si une cible présente ou non un intérêt et doit être redirigée vers un domaine malveillant sous leur contrôle et agir comme une passerelle pour compromettre leurs systèmes avec des logiciels malveillants.
Plus tôt en janvier, l’équipe de recherche et de renseignement de BlackBerry a détaillé un autre TDS appelé Prometheus qui a été utilisé dans différentes campagnes montées par des groupes cybercriminels pour distribuer les logiciels malveillants Campo Loader, Hancitor, IcedID, QBot, Buer Loader et SocGholish.
Ce qui distingue Parrot TDS, c’est son énorme portée, avec une activité accrue observée en février et mars 2022, car ses opérateurs ont principalement ciblé les serveurs hébergeant des sites WordPress mal sécurisés pour obtenir un accès administrateur.
La plupart des utilisateurs ciblés par ces redirections malveillantes se trouvent au Brésil, en Inde, aux États-Unis, à Singapour, en Indonésie, en Argentine, en France, au Mexique, au Pakistan et en Russie.
« Les apparences des sites infectés sont modifiées par une campagne appelée FakeUpdate (également connue sous le nom de SocGholish), qui utilise JavaScript pour afficher de fausses notifications permettant aux utilisateurs de mettre à jour leur navigateur, proposant un fichier de mise à jour à télécharger », ont déclaré les chercheurs. « Le fichier observé remis aux victimes est un outil d’accès à distance. »
Parrot TDS, via un script PHP injecté hébergé sur le serveur compromis, est conçu pour extraire les informations du client et transmettre la requête au serveur de commande et de contrôle (C2) lors de la visite d’un des sites infectés, en plus de permettre à l’attaquant de effectuer l’exécution de code arbitraire sur le serveur.
La réponse du serveur C2 prend la forme d’un code JavaScript exécuté sur la machine cliente, exposant les victimes à de nouvelles menaces potentielles. Outre le script PHP de porte dérobée malveillant, on observe également un shell Web qui accorde à l’adversaire un accès distant persistant au serveur Web.
Appelant les acteurs criminels à l’origine de la campagne FakeUpdate un client prédominant de Parrot TDS, Avast a déclaré que les attaques impliquaient d’inciter les utilisateurs à télécharger des logiciels malveillants sous le couvert de mises à jour de navigateurs malveillants, un cheval de Troie d’accès à distance nommé « ctfmon.exe » qui donne à l’attaquant un accès complet à l’hôte.