Das Parrot-Verkehrsleitsystem (TDS), das Anfang des Jahres aufgedeckt wurde, hat laut einer neuen Studie größere Auswirkungen als bisher angenommen.
Sucuri, das die gleiche Kampagne seit Februar 2019 unter dem Namen „NDSW/NDSX“ verfolgt, sagte, dass „die Malware eine der Top-Infektionen“ war, die im Jahr 2021 entdeckt wurden und mehr als 61.000 Websites betraf.
Parrot TDS wurde im April 2022 von der tschechischen Cybersecurity-Firma Avast dokumentiert, die feststellte, dass das PHP-Skript Webserver umgarnt hatte, die mehr als 16.500 Websites beherbergten, um als Einfallstor für weitere Angriffskampagnen zu dienen.
Dabei wird ein bösartiger Code an alle JavaScript-Dateien auf kompromittierten Webservern angehängt, auf denen Content Management Systeme (CMS) wie WordPress gehostet werden, die wiederum unter Ausnutzung schwacher Anmeldedaten und anfälliger Plugins angegriffen werden sollen.
Neben der Verwendung verschiedener Verschleierungstaktiken, um den Code zu verbergen, kann das „injizierte JavaScript auch gut eingerückt sein, so dass es für einen zufälligen Beobachter weniger verdächtig aussieht“, so Sucuri-Forscher Denis Sinegubko.
JavaScript-Variante mit der ndsj-Variable
Das Ziel des JavaScript-Codes ist es, die zweite Phase des Angriffs einzuleiten. Diese besteht darin, ein PHP-Skript auszuführen, das bereits auf dem Server installiert ist und dazu dient, Informationen über den Besucher einer Website zu sammeln (z. B. IP-Adresse, Referrer, Browser usw.) und die Daten an einen entfernten Server zu übertragen.
Typische verschleierte PHP-Malware, die in der NDSW-Kampagne gefunden wurde
Die dritte Ebene des Angriffs kommt in Form eines JavaScript-Codes vom Server, der als Verkehrsleitsystem fungiert und auf der Grundlage der im vorherigen Schritt weitergegebenen Informationen entscheidet, welche Nutzlast für einen bestimmten Nutzer geliefert werden soll.
„Sobald das TDS die Berechtigung eines bestimmten Website-Besuchers überprüft hat, lädt das NDSX-Skript die endgültige Nutzlast von einer Drittanbieter-Website“, so Sinegubko. Die am häufigsten verwendete Malware der dritten Stufe ist ein JavaScript-Downloader namens FakeUpdates (alias SocGholish).
Allein im Jahr 2021 hat Sucuri nach eigenen Angaben Parrot TDS aus fast 20 Millionen JavaScript-Dateien entfernt, die auf infizierten Websites gefunden wurden. In den ersten fünf Monaten des Jahres 2022 wurden über 2.900 PHP- und 1,64 Millionen JavaScript-Dateien mit dem Schadprogramm entdeckt.
„Die NDSW-Malware-Kampagne ist extrem erfolgreich, weil sie ein vielseitiges Exploit-Toolkit nutzt, das ständig neue veröffentlichte und 0-Day-Schwachstellen hinzufügt“, erklärte Sinegubko.
„Sobald sich die Angreifer unbefugten Zugang zu der Umgebung verschafft haben, fügen sie verschiedene Hintertüren und CMS-Administratoren hinzu, um den Zugang zu der kompromittierten Website zu erhalten, lange nachdem die ursprüngliche Schwachstelle geschlossen wurde.