Parrot TDS IOC

security IOC
Опубликовано

Новая система направления трафика (TDS), использует десятки тысяч взломанных веб-сайтов, появилась в последние месяцы и охватывает пользователей со всего мира. TDS заразила различные веб-серверы, на которых размещено более 16 500 веб-сайтов, начиная от сайтов с контентом для взрослых, личных сайтов, сайтов университетов и местных органов власти.

Parrot TDS действует как шлюз для дальнейших вредоносных кампаний, чтобы достичь потенциальных жертв. В данном конкретном случае внешний вид зараженных сайтов изменяется кампанией под названием FakeUpdate (также известной как SocGholish), которая использует JavaScript для отображения поддельных уведомлений о необходимости обновления браузера, предлагая загрузить файл обновления. Файл, который, как замечено, доставляется жертвам, является инструментом удаленного доступа.

Недавно обнаруженный TDS в некоторых аспектах похож на TDS Prometheus, появившийся весной 2021 года. Однако уникальность Parrot TDS заключается в ее надежности и огромном охвате, что дает ей возможность заразить миллионы пользователей. Avast Threat Labs обнаружили повышенную активность Parrot TDS в феврале 2022 года, обнаружив подозрительные файлы JavaScript на взломанных веб-серверах. Avast Threat Labs проанализировали его поведение и выявили несколько версий, а также несколько типов кампаний, использующих Parrot TDS. Судя по появлению первых образцов и дате регистрации используемых им доменов Command and Control (C2), Parrot TDS активен с октября 2021 года.

Одним из главных отличий Parrot TDS от других TDS является то, насколько широко он распространен и как много у него потенциальных жертв. Обнаруженные нами взломанные сайты, похоже, не имеют ничего общего, кроме серверов, на которых размещены плохо защищенные сайты CMS, например, сайты WordPress.

Indicators of Compromise

IPv4

  • 109.234.35.249
  • 141.136.35.157
  • 91.219.236.192
  • 91.219.236.202
  • 194.180.158.173
  • 87.120.8.141
  • 15.76.172.110
  • 45.76.172.113
  • 5.180.136.119
  • 94.158.247.84
  • 94.158.245.113
  • 94.158.247.100
  • 154.38.242.14
  • 199.247.3.55

Domain

  • 2ctmedia.com
  • accountablitypartner.com
  • ahrealestatepr.com
  • altcoinfan.com
  • avanzatechnicalsolutions.com
  • clickstat360.com
  • codigodebarra.co
  • codingbit.co.in
  • craigconnors.com
  • drpease.com
  • expresswayautopr.com
  • fioressence.com
  • fishslayerjigco.com
  • hill-family.us
  • integrativehealthpartners.com
  • lawrencetravelco.com
  • lilscrambler.com
  • markbrey.com
  • mattingsolutions.co
  • maxxcorp.net
  • nuwealthmedia.com
  • parmsplace.com
  • pocketstay.com
  • refinedwebs.com
  • spillpalletonline.com
  • srkpc.com
  • statclick.net
  • staticvisit.net
  • syncadv.com
  • walmyrivera.com
  • webcachespace.net
  • webcachestorage.com
  • weightlossihp.com
  • wholesalerandy.com
  • windsorbongvape.com
  • wwpcrisis.com
  • xomosagency.com
  • youbyashboutique.com

SHA256

  • e22e88c8ec0f439eebbb6387eeea0d332f57c137ae85cf1d8d1bb4c7ea8bd2f2
  • daabdec3d5a43bb1c0340451be466d9f90eaa0cfac92fb6beaabc59452c473c3
  • b63260c1f213c02fcbb5c1a069ab2f1d17031e598fd19673bb639aa7557a9bae
  • 0046fad95da901f398f800ece8af479573a08ebf8db9529851172ead01648faa
  • 15afd9eb66450b440d154e98ed82971f1b968323ff11b839b046ae4bec60f855
  • 4fffa055d56e48fa0c469a54e2ebd857f23eca73a9928805b6a29a9483dffc21
  • 8ad9c598c1fde52dd2bfced5f953ca0d013b0c65feb5ded73585cfc420c95a95
  • b6b51f4273420c24ea7dc13ef4cc7615262ccbdf6f5e5a49dae604ec153055ad

Похожие записи:

  1. DevilsTongue Spyware IOCs
  2. BianLian Ransomware IOCs - Part 3
  3. Dota 2 под атакой: Как в игре эксплуатируется ошибка V8
  4. BianLian Ransomware IOCs - Part 4
  5. Akira Ransomware IOCs - Part 2
Avast Parrot TDS
Добавить комментарий