Οι ερευνητές ασφάλειας παρατήρησαν πάνω από 10.000 κακόβουλα scripts που χρησιμοποιήθηκαν από το σύστημα κατεύθυνσης κυκλοφορίας Parrot (TDS) και ανακάλυψαν βελτιστοποιήσεις που καθιστούν τον κακόβουλο κώδικα πιο αόρατο έναντι των μηχανισμών ασφαλείας.
Δείτε επίσης: Νέο κακόβουλο λογισμικό JavaScript στοχεύει τράπεζες παγκοσμίως
Το Parrot TDS ανακαλύφθηκε από την εταιρεία κυβερνοασφάλειας Avast τον Απρίλιο του 2022 και πιστεύεται ότι είναι ενεργό από το 2019, αποτελώντας μέρος μιας εκστρατείας που επιτίθεται σε ευάλωτες ιστοσελίδες WordPress και Joomla με κώδικα JavaScript που ανακατευθύνει τους χρήστες σε μια κακόβουλη τοποθεσία.
Κατά την ανάλυσή του από ερευνητές της Avast, προέκυψε ότι το Parrot είχε μολύνει τουλάχιστον 16.500 ιστότοπους, σηματοδοτώντας μια μαζική λειτουργία.
Οι φορείς πίσω από το Parrot πωλούν την κίνηση σε κακόβουλους δράστες, οι οποίοι τη χρησιμοποιούν σε χρήστες που επισκέπτονται μολυσμένες ιστοσελίδες για τον προσδιορισμό και την ανακατεύθυνση σχετικών στόχων σε κακόβουλους προορισμούς, όπως σελίδες ψευδο-αναγνώρισης ή τοποθεσίες παράδοσης κακόβουλου λογισμικού.
Μία πρόσφατη έκθεση από την ομάδα Unit 42 της Palo Alto Networks παρουσιάζει ευρήματα που υποδηλώνουν ότι το Parrot TDS είναι ακόμα πολύ ενεργό και οι υπεύθυνοί του συνεχίζουν να εργάζονται για να καθιστούν την παρουσία τους σε JavaScript πιο δύσκολη να ανιχνευθεί και να αφαιρεθεί.
Η Unit 42 ανέλυσε 10.000 σενάρια Parrot που συλλέχθηκαν από τον Αύγουστο του 2019 έως τον Οκτώβριο του 2023. Οι ερευνητές ανακάλυψαν τέσσερις διαφορετικές εκδόσεις που δείχνουν μια πρόοδο στη χρήση τεχνικών απόκρυψης.
Τα σενάρια του Parrot βοηθούν στην ανάλυση προφίλ του χρήστη και εξαναγκάζουν τον περιηγητή του θύματος να φορτώσει μία δέσμη σεναρίου από τον διακομιστή του επιτιθέμενου, το οποίο πραγματοποιεί την ανακατεύθυνση.
Σύμφωνα με τους ερευνητές, τα σενάρια που χρησιμοποιούνται στις εκστρατείες Parrot TDS αναγνωρίζονται από συγκεκριμένες λέξεις-κλειδιά στον κώδικα, όπως ‘ndsj,’ ‘ndsw,’ και ‘ndsx.’
Δείτε ακόμα: Το οικοσύστημα NPM κινδυνεύει από επιθέσεις “Manifest Confusion”
Η ομάδα Unit 42 παρατήρησε ότι οι περισσότερες μολύνσεις στο δείγμα που εξετάστηκε έχουν μεταφερθεί στην πιο πρόσφατη έκδοση του σεναρίου, αποτελώντας το 75% του συνόλου, με το 18% να χρησιμοποιεί την προηγούμενη έκδοση και το υπόλοιπο να εκτελεί παλαιότερα σενάρια.
Η τέταρτη έκδοση του σεναρίου landing εισήγαγε τις ακόλουθες βελτιώσεις σε σύγκριση με τις παλαιότερες εκδόσεις:
- Βελτιωμένη απόκρυψη με πολύπλοκη δομή κώδικα και μηχανισμούς κωδικοποίησης.
- Οι διάφοροι δείκτες και μέτρα που αλλοιώνουν την αναγνώριση μοτίβων και την ανίχνευση βασισμένη σε υπογραφές.
- Διαφοροποίηση στην αντιμετώπιση των συμβολοσειρών και των αριθμών, συμπεριλαμβανομένης της μορφοποίησής, κωδικοποίησης και επεξεργασίας τους.
Παρά τις επιπλέον στρώσεις απόκρυψης και τις αλλαγές στη δομή του κώδικα, η βασική λειτουργικότητα του σεναρίου V4 παραμένει συνεπής με τις προηγούμενες εκδόσεις.
Σχετικά με τα σενάρια φορτίου, τα οποία είναι υπεύθυνα για την εκτέλεση των ανακατευθύνσεων του χρήστη, η Unit 42 ανακάλυψε εννέα διαφορετικές εκδοχές. Αυτές είναι σχεδόν πανομοιότυπες, εκτός από μικρές μορφές απόκρυψης και ελέγχους του στόχου του λειτουργικού συστήματος που εκτελούνται από μερικές από αυτές.
Συνολικά, το Parrot TDS παραμένει μια ενεργή και εξελισσόμενη απειλή που γίνεται σταδιακά πιο εξελιγμένη.
Δείτε επίσης: CISA: Παρέχει recovery script για τα θύματα του ESXiArgs ransomware
Ποιες είναι οι μέθοδοι προστασίας από τα κακόβουλα scripts ανακατεύθυνσης;
Μια από τις πιο αποτελεσματικές μεθόδους προστασίας είναι η ενημέρωση του λογισμικού σας. Τα κακόβουλα scripts ανακατεύθυνσης συχνά εκμεταλλεύονται ευπάθειες σε παλιότερες εκδόσεις λογισμικού, επομένως είναι ζωτικής σημασίας να διατηρείτε το λογισμικό σας ενημερωμένο.
Η χρήση ενός ισχυρού λογισμικού ασφαλείας μπορεί επίσης να προσφέρει προστασία από τα κακόβουλα scripts ανακατεύθυνσης. Αυτό το λογισμικό μπορεί να ανιχνεύσει και να απομακρύνει τα κακόβουλα scripts πριν αυτά καταφέρουν να προκαλέσουν ζημιά.
Επιπλέον, η εκμάθηση και η εφαρμογή των βέλτιστων πρακτικών για την ασφάλεια του διαδικτύου μπορεί να είναι πολύ χρήσιμη. Αυτό μπορεί να περιλαμβάνει την αποφυγή κλικ σε ύποπτους συνδέσμους και την χρήση δυνατών κωδικών πρόσβασης.
Τέλος, η χρήση ενός δικτύου ιδιωτικής εικονικής σύνδεσης (VPN) μπορεί να προσφέρει επιπλέον προστασία. Ένα VPN μπορεί να κρύψει την πραγματική σας διεύθυνση IP, δυσκολεύοντας την εργασία των κακόβουλων scripts ανακατεύθυνσης.
Πηγή: bleepingcomputer
