El sistema de dirección de tráfico Parrot (TDS) que salió a la luz a principios de este año ha tenido un impacto mayor de lo que se pensaba, según una nueva investigación.
Sucuri, que ha estado rastreando la misma campaña desde febrero de 2019 bajo el nombre «NDSW/NDSX», dijo que «el malware fue una de las principales infecciones» detectadas en 2021, representando más de 61.000 sitios web.
Parrot TDS fue documentado en abril de 2022 por la empresa checa de ciberseguridad Avast, y señaló que el script PHP había atrapado servidores web que albergaban más de 16 500 sitios web para actuar como puerta de entrada para futuras campañas de ataque.
Esto implica agregar un código malicioso a todos los archivos JavaScript en servidores web comprometidos que alojan sistemas de administración de contenido (CMS) como WordPress que, a su vez, se dice que se violan al aprovechar credenciales de inicio de sesión débiles y complementos vulnerables.
Además de usar diferentes tácticas de ofuscación para ocultar el código, el «JavaScript inyectado también se puede encontrar bien sangrado para que parezca menos sospechoso para un observador casual», dijo el investigador de Sucuri Denis Sinegubko .
Variante de JavaScript usando la variable ndsj |
El objetivo del código JavaScript es poner en marcha la segunda fase del ataque, que consiste en ejecutar un script PHP que ya está implementado en el servidor y está diseñado para recopilar información sobre un visitante del sitio (por ejemplo, dirección IP, referente, navegador , etc.) y transmitir los detalles a un servidor remoto.
Malware PHP ofuscado típico encontrado en la campaña NDSW |
La tercera capa del ataque llega en forma de un código JavaScript del servidor, que actúa como un sistema de dirección del tráfico para decidir la carga útil exacta para entregar a un usuario específico en función de la información compartida en el paso anterior.
«Una vez que el TDS ha verificado la elegibilidad de un visitante del sitio específico, el script NDSX carga la carga útil final desde un sitio web de terceros», dijo Sinegubko. El malware de tercera etapa más utilizado es un descargador de JavaScript llamado FakeUpdates (también conocido como SocGholish).
Solo en 2021, Sucuri dijo que eliminó Parrot TDS de casi 20 millones de archivos JavaScript encontrados en sitios infectados. En los primeros cinco meses de 2022, se observaron más de 2900 PHP y 1,64 millones de archivos JavaScript que contenían el malware.
«La campaña de malware NDSW es extremadamente exitosa porque utiliza un conjunto de herramientas de explotación versátil que agrega constantemente nuevas vulnerabilidades reveladas y de día cero», explicó Sinegubko.
«Una vez que el malhechor ha obtenido acceso no autorizado al entorno, agrega varias puertas traseras y usuarios administradores de CMS para mantener el acceso al sitio web comprometido mucho después de que se cierre la vulnerabilidad original».
Fuente: https://thehackernews.com