Ein neues Verkehrsleitsystem (Traffic Direction System, TDS) namens Parrot wurde entdeckt, das zehntausende kompromittierte Websites ausnutzt, um weitere bösartige Kampagnen zu starten.
„Das TDS hat verschiedene Webserver infiziert, auf denen mehr als 16.500 Websites gehostet werden, darunter Websites mit nicht jugendfreien Inhalten, persönliche Websites, Websites von Universitäten und lokalen Behörden“, so die Avast-Forscher Pavel Novák und Jan Rubín in einem letzte Woche veröffentlichten Bericht.
Systeme zur Lenkung des Datenverkehrs werden von Bedrohungsakteuren genutzt, um festzustellen, ob ein Ziel von Interesse ist und auf eine bösartige Domain unter ihrer Kontrolle umgeleitet werden sollte, um deren Systeme mit Malware zu kompromittieren.
Im Januar dieses Jahres berichtete das BlackBerry Research and Intelligence Team über ein weiteres TDS namens Prometheus, das in verschiedenen Kampagnen von cyberkriminellen Gruppen eingesetzt wurde, um Campo Loader, Hancitor, IcedID, QBot, Buer Loader und SocGholish Malware zu verbreiten.
Parrot TDS zeichnet sich durch seine enorme Reichweite aus. Im Februar und März 2022 wurden vermehrt Aktivitäten beobachtet, da die Betreiber vor allem Server mit schlecht gesicherten WordPress-Websites ins Visier genommen haben, um sich Administratorzugriff zu verschaffen.
Die meisten der Nutzer, auf die diese bösartigen Weiterleitungen abzielen, befinden sich in Brasilien, Indien, den USA, Singapur, Indonesien, Argentinien, Frankreich, Mexiko, Pakistan und Russland.
„Das Erscheinungsbild der infizierten Websites wird durch eine Kampagne namens FakeUpdate (auch bekannt als SocGholish) verändert, die JavaScript verwendet, um gefälschte Hinweise für die Aktualisierung des Browsers anzuzeigen und eine Update-Datei zum Download anzubieten“, so die Forscher. „Bei der Datei, die den Opfern zugespielt wird, handelt es sich um ein Fernzugriffstool.
Parrot TDS extrahiert über ein PHP-Skript, das auf dem infizierten Server gehostet wird, Client-Informationen und leitet die Anfrage an den Command-and-Control (C2)-Server weiter, wenn eine der infizierten Seiten besucht wird, und ermöglicht dem Angreifer außerdem die Ausführung von beliebigem Code auf dem Server.
Die Antwort des C2-Servers erfolgt in Form von JavaScript-Code, der auf dem Client-Rechner ausgeführt wird und die Opfer potenziellen neuen Bedrohungen aussetzt. Neben dem bösartigen Backdoor-PHP-Skript wird auch eine Web-Shell beobachtet, die dem Angreifer dauerhaften Fernzugriff auf den Webserver gewährt.
Avast bezeichnete die kriminellen Akteure hinter der FakeUpdate-Kampagne als häufige Kunden von Parrot TDS und erklärte, dass die Angriffe darauf abzielten, die Nutzer/innen unter dem Deckmantel gefälschter Browser-Updates zum Download von Malware zu bewegen.