Hackean más de 16.500 sitios para distribuir malware vía TLS

La mayoría de los usuarios afectados por Parrot TDS se encuentran en países como Brasil, Argentina y México.

Un nuevo sistema de dirección de tráfico (TDS) llamado Parrot está aprovechando decenas de miles de sitios web comprometidos para lanzar nuevas campañas maliciosas.

«El TDS ha infectado varios servidores web que alojan más de 16.500 sitios web, desde sitios de contenido para adultos, sitios personales, sitios universitarios y sitios de gobiernos locales», dijeron los investigadores de Avast Pavel Novák y Jan Rubín en un informe publicado la semana pasada.

Los sistemas de dirección de tráfico son utilizados por los actores de amenazas para determinar si un objetivo es de interés y debe ser redirigido a un dominio malicioso bajo su control y actuar como una puerta de entrada para comprometer sus sistemas con malware.

Parrot TDS es especialmente preocupante, ya que sus operadores han elegido principalmente servidores que alojan sitios de WordPress poco seguros para obtener acceso de administrador. La mayoría de los usuarios a los que se dirigen estas redirecciones maliciosas se encuentran en Brasil, India, Estados Unidos, Singapur, Indonesia, Argentina, Francia, México, Pakistán y Rusia.

«La apariencia de los sitios infectados es alterada por una campaña llamada FakeUpdate (también conocida como SocGholish), que utiliza JavaScript para mostrar falsos avisos para que los usuarios actualicen su navegador, ofreciendo un archivo de actualización para su descarga. El archivo observado que se entrega a las víctimas es una herramienta de acceso remoto», dijeron los investigadores de Avast.

Parrot TDS, a través de un script PHP inyectado alojado en el servidor comprometido, está diseñado para extraer la información del cliente y reenviar la solicitud al servidor de comando y control (C2) al visitar uno de los sitios infectados, además de permitir al atacante la ejecución de código arbitrario en el servidor.

Avast dijo que los ataques consistían en incitar a los usuarios a descargar malware bajo la apariencia de actualizaciones falsas del navegador, un troyano de acceso remoto llamado «ctfmon.exe» que da al atacante acceso completo al host.



Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022