Недавно исследователи компании Avast Павел Новак и Ян Рубин опубликовали подробный отчет о кампании "Parrot TDS", включающей более 16 500 зараженных веб-сайтов. Вредоносное ПО под названием "ndsw/ndsx" в компании Sucuri утверждают, что отслеживают эту конкретную кампанию с февраля 2019 года - однако некоторые варианты имеют еще более ранние даты.
NDSW/NDSX Malware
Вредоносная программа состоит из нескольких уровней: первый из них включает переменную ndsw в инъекциях JavaScript, а второй использует переменную ndsx в полезной нагрузке. Результаты исследований Sucuri показывают, что злоумышленники регулярно меняют обфускацию своих JavaScript-инъекций, сохраняя при этом узнаваемый шаблон ndsw/ndsx. Все варианты содержат следующее утверждение "if(ndsw===undefined)" - отсюда и название ndsw.
Вредоносный скрипт обычно внедряется либо внутрь HTML-страниц в конце встроенных скриптов, либо в нижнюю часть всех .js-файлов в скомпрометированном окружении, что иногда может достигать тысяч зараженных файлов на одном сайте. В редких случаях это вредоносное ПО может быть также обнаружено в базе данных (обычно кэшируется каким-либо плагином). Функция этих видимых JavaScipt-инъекций заключается в получении и выполнении второго уровня атаки, который обычно загружается из PHP-файла, находящегося в случайном каталоге в той же зараженной среде. Наиболее распространенной конечной полезной нагрузкой для компьютеров Windows является так называемая вредоносная программа "Fake Update".
Если ваш сайт был заражен этой вредоносной программой, предпримите следующие шаги для очистки от заражения и защиты сайта:
- Смените пароль администратора CMS и проверьте CMS на отсутствие нежелательных пользователей с правами администратора.
- Проверьте все темы, плагины и другие компоненты сторонних производителей, установленные на вашем сайте. Удалите (простой деактивации недостаточно) все, что вы не узнали или больше не используете.
- Выявите и очистите все зараженные файлы и записи базы данных.
- Убедитесь, что ваша CMS и все остальные сторонние компоненты обновлены.
- Рассмотрите возможность использования брандмауэра сайта, который защитит ваш сайт от большинства известных атак и практически залатает известные уязвимости, пока вы не сможете обновить свое программное обеспечение.
Indicators of Compromise
IPv4
- 109.234.35.249
- 179.43.169.30
- 188.120.239.154
Domains
- bumpy.daniyalmedicaltech.com
- contractor.thecaninescholar.com
- craft.cheesedome.com
- design.lawrencetravelco.com
- doors.vipveinsaz.com
- flowers.netplusplans.com
- mamba.cpncredit.com
- market.bluestonechiropractic.com
- mines.cajonsoul.com
- notify.aproposaussies.com
- patients.brannonsmiles.com
- pixelapn.adsprofitnetwork.com
- rotation.ahrealestatepr.com
- rotation.craigconnors.com
- sdk.expresswayautopr.com
- staff.beeboykind.com
- stuff.bonneltravel.com
- trace.mukandratourandtravels.com