Новая система направления трафика (TDS), использует десятки тысяч взломанных веб-сайтов, появилась в последние месяцы и охватывает пользователей со всего мира. TDS заразила различные веб-серверы, на которых размещено более 16 500 веб-сайтов, начиная от сайтов с контентом для взрослых, личных сайтов, сайтов университетов и местных органов власти.
Parrot TDS действует как шлюз для дальнейших вредоносных кампаний, чтобы достичь потенциальных жертв. В данном конкретном случае внешний вид зараженных сайтов изменяется кампанией под названием FakeUpdate (также известной как SocGholish), которая использует JavaScript для отображения поддельных уведомлений о необходимости обновления браузера, предлагая загрузить файл обновления. Файл, который, как замечено, доставляется жертвам, является инструментом удаленного доступа.
Недавно обнаруженный TDS в некоторых аспектах похож на TDS Prometheus, появившийся весной 2021 года. Однако уникальность Parrot TDS заключается в ее надежности и огромном охвате, что дает ей возможность заразить миллионы пользователей. Avast Threat Labs обнаружили повышенную активность Parrot TDS в феврале 2022 года, обнаружив подозрительные файлы JavaScript на взломанных веб-серверах. Avast Threat Labs проанализировали его поведение и выявили несколько версий, а также несколько типов кампаний, использующих Parrot TDS. Судя по появлению первых образцов и дате регистрации используемых им доменов Command and Control (C2), Parrot TDS активен с октября 2021 года.
Одним из главных отличий Parrot TDS от других TDS является то, насколько широко он распространен и как много у него потенциальных жертв. Обнаруженные нами взломанные сайты, похоже, не имеют ничего общего, кроме серверов, на которых размещены плохо защищенные сайты CMS, например, сайты WordPress.
Indicators of Compromise
IPv4
- 109.234.35.249
- 141.136.35.157
- 91.219.236.192
- 91.219.236.202
- 194.180.158.173
- 87.120.8.141
- 15.76.172.110
- 45.76.172.113
- 5.180.136.119
- 94.158.247.84
- 94.158.245.113
- 94.158.247.100
- 154.38.242.14
- 199.247.3.55
Domain
- 2ctmedia.com
- accountablitypartner.com
- ahrealestatepr.com
- altcoinfan.com
- avanzatechnicalsolutions.com
- clickstat360.com
- codigodebarra.co
- codingbit.co.in
- craigconnors.com
- drpease.com
- expresswayautopr.com
- fioressence.com
- fishslayerjigco.com
- hill-family.us
- integrativehealthpartners.com
- lawrencetravelco.com
- lilscrambler.com
- markbrey.com
- mattingsolutions.co
- maxxcorp.net
- nuwealthmedia.com
- parmsplace.com
- pocketstay.com
- refinedwebs.com
- spillpalletonline.com
- srkpc.com
- statclick.net
- staticvisit.net
- syncadv.com
- walmyrivera.com
- webcachespace.net
- webcachestorage.com
- weightlossihp.com
- wholesalerandy.com
- windsorbongvape.com
- wwpcrisis.com
- xomosagency.com
- youbyashboutique.com
SHA256
- e22e88c8ec0f439eebbb6387eeea0d332f57c137ae85cf1d8d1bb4c7ea8bd2f2
- daabdec3d5a43bb1c0340451be466d9f90eaa0cfac92fb6beaabc59452c473c3
- b63260c1f213c02fcbb5c1a069ab2f1d17031e598fd19673bb639aa7557a9bae
- 0046fad95da901f398f800ece8af479573a08ebf8db9529851172ead01648faa
- 15afd9eb66450b440d154e98ed82971f1b968323ff11b839b046ae4bec60f855
- 4fffa055d56e48fa0c469a54e2ebd857f23eca73a9928805b6a29a9483dffc21
- 8ad9c598c1fde52dd2bfced5f953ca0d013b0c65feb5ded73585cfc420c95a95
- b6b51f4273420c24ea7dc13ef4cc7615262ccbdf6f5e5a49dae604ec153055ad