Los investigadores de amenazas de Avast (LSE: AVST), líder mundial en seguridad y privacidad digital, han descubierto un nuevo sistema de gestión de tráfico malicioso (TDS), Parrot TDS, que ha infectado varios servidores web que albergan más de 16 500 sitios web. Los sitios web afectados van desde sitios web de contenido para adultos, páginas personales y sitios web universitarios hasta sitios web gubernamentales, y su apariencia cambia para mostrar una página de phishing que afirma que el usuario necesita actualizar su navegador. Cuando un usuario ejecuta el archivo de actualización del navegador ofrecido, se descarga una herramienta de acceso remoto (RAT), lo que brinda a los atacantes acceso total a las computadoras de las víctimas.

«Los sistemas de control de tráfico sirven como puerta de entrada para la entrega de varias campañas maliciosas a través de sitios web infectados», dijo Jan Rubin, investigador de malware de Avast. «Actualmente, Parrot TDS está distribuyendo una campaña maliciosa llamada ‘FakeUpdate’ (también conocida como SocGholish), pero TDS podría realizar otras actividades maliciosas en el futuro».

Las credenciales débiles permiten un amplio alcance de Parrot TDS

Los investigadores de Avast, Jan Rubin y Pavel Novak, creen que los atacantes están explotando los servidores web de los sistemas de administración de contenido inseguros, como los sitios web de WordPress y Joomla, para iniciar sesión en cuentas con credenciales débiles para obtener acceso remoto a los servidores.

«Lo único que tienen en común los sitios web es que son sitios de WordPress y, en algunos casos, sitios de Joomla. Es por eso que sospechamos que están usando credenciales de inicio de sesión débiles para infectar sitios web con código malicioso», dijo Pavel. Novak, ThreatOps Analista en Avast. «La durabilidad del Parrot TDS y su amplia gama lo hacen único».

A leer  Seis razones por las que debes aprender un nuevo idioma

Parrot TDS permite a los atacantes establecer parámetros para mostrar solo páginas de phishing a víctimas potenciales que cumplen ciertas condiciones que analizan los navegadores de los usuarios, las cookies y el sitio web del que provienen. Estas configuraciones están configuradas para que cada usuario solo muestre una página de phishing una vez, para evitar que los servidores Parrot TDS se sobrecarguen.

Desde el 1 de marzo de 2022 hasta el 29 de marzo de 2022, Avast protegió a más de 600 000 usuarios en todo el mundo que visitaron sitios web infectados con Parrot TDS. Durante este período, Avast protegió a la mayoría de los usuarios en: Brasil, más de 73.000 usuarios únicos; India, casi 55.000 usuarios únicos; en Estados Unidos más de 31,000, y más de 15,000 en México.

En el caso de la campaña maliciosa FakeUpdate, utiliza JavaScript para cambiar el aspecto del sitio y mostrar mensajes de phishing que afirman que el usuario necesita actualizar su navegador. Al igual que Parrot TDS, FakeUpdate también realiza un escaneo preliminar para recopilar información sobre el visitante del sitio web antes de mostrar el mensaje de phishing. Esta es una acción defensiva para determinar si mostrar o no el mensaje de phishing, entre otras cosas. El análisis verifica qué producto antivirus está en el dispositivo. El archivo que se ofrece como actualización es en realidad una herramienta de acceso remoto llamada NetSupport Manager. Los ciberdelincuentes detrás de la campaña han configurado la herramienta de tal manera que el usuario tiene muy pocas posibilidades de darse cuenta. Si la víctima ejecuta el archivo, los atacantes obtienen acceso completo a su computadora y pueden cambiar la carga útil entregada a las víctimas en cualquier momento.

A leer  Claves para aprender italiano de forma eficaz: trucos y consejos que te abrirán las puertas

Además de la campaña FakeUpdate, los investigadores de Avast han observado otros sitios de phishing alojados en los sitios de Parrot TDS infectados, sin embargo, no pueden vincularlos de manera decisiva con Parrot TDS.

Cómo los desarrolladores pueden proteger sus servidores

Cómo los visitantes pueden evitar ser víctimas de phishing

El análisis completo se puede encontrar en el blog Avast Decoded: https://decoded.avast.io/janrubin/parrot-tds-takes-over-web-servers-and-threatens-millions/