Pesquisadores de segurança, ao analisar mais de 10.000 scripts utilizados pelo sistema de direcionamento de tráfego Parrot (TDS), notaram uma evolução marcada por otimizações que tornam o código malicioso mais furtivo contra mecanismos de segurança.
O Parrot TDS foi descoberto pela empresa de cibersegurança Avast em abril de 2022 e acredita-se que tenha estado ativo desde 2019, fazendo parte de uma campanha que visa sites vulneráveis do WordPress e do Joomla com código JavaScript que redireciona os usuários para um local malicioso.
Quando os pesquisadores da Avast analisaram o Parrot, ele havia infectado pelo menos 16.500 sites, indicando uma operação massiva.
Os operadores por trás do Parrot vendem o tráfego para atores de ameaças, que o utilizam em usuários que visitam sites infectados para o perfilamento e redirecionamento de alvos relevantes para destinos maliciosos, como páginas de phishing ou locais que fornecem malware.
Um relatório recente da equipe Unit 42 da Palo Alto Networks apresenta descobertas indicando que o Parrot TDS ainda está muito ativo e seus operadores continuam a trabalhar para tornar suas injeções de JavaScript mais difíceis de detectar e remover.
A Unit 42 analisou 10.000 scripts de desembarque do Parrot coletados entre agosto de 2019 e outubro de 2023.
Os pesquisadores encontraram quatro versões distintas que mostram uma progressão no uso de técnicas de ofuscação.
Os scripts de desembarque do Parrot ajudam no perfilamento do usuário e forçam o navegador da vítima a buscar um script de payload a partir do servidor do invasor, que realiza o redirecionamento.
Segundo os pesquisadores, os scripts usados nas campanhas Parrot TDS são identificados por palavras-chave específicas no código, incluindo 'ndsj', 'ndsw' e 'ndsx'.
A Unit 42 percebeu que a maioria das infecções na amostra examinada mudou para a versão mais recente do script de desembarque, representando 75% do total, com 18% usando a versão anterior, e o restante executando scripts mais antigos.
A quarta versão do script de desembarque apresentou as seguintes melhorias em comparação com versões anteriores:
Ofuscação aprimorada com estrutura de código complexa e mecanismos de codificação.
Indexação e manipulação de array diferentes que interrompem o reconhecimento de padrões e a detecção baseada em assinatura.
Variação no manuseio de strings e números, incluindo formatação, codificação e processamento.
Apesar das camadas adicionais de ofuscação e das mudanças na estrutura do código, a funcionalidade central do script de desembarque V4 permanece consistente com as versões anteriores.
Ele ainda serve ao seu propósito principal de perfilamento do ambiente da vítima e iniciação do processo de recuperação do script de payload, se as condições forem atendidas.
Em relação aos scripts de payload, responsáveis pelo redirecionamento do usuário, a Unit 42 encontrou nove variantes.
Estes são, em sua maioria, idênticos, com exceção de pequenas ofuscações e verificações do sistema operacional alvo realizadas por alguns.
Em 70% dos casos observados, os atores de ameaça usam a versão 2 do script de payload, que não apresenta nenhuma ofuscação.
Camadas de ofuscação foram adicionadas nas versões 4-5 e se tornaram ainda mais intricadas nas versões 6 a 9.
No entanto, essas versões foram raramente vistas em sites comprometidos.
No geral, o Parrot TDS continua sendo uma ameaça ativa e em evolução que se torna gradativamente mais evasiva.
Os proprietários de sites são aconselhados a procurar em seus servidores por arquivos php suspeitos, a escanear as palavras-chave ndsj, ndsw e ndsx, a usar firewalls para bloquear o tráfego de webshell e ferramentas de filtragem de URLs para bloquear URLs e IPs maliciosos conhecidos.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...