Pesquisadores da Avast descobriram um TDS (Sistema de Direcionamento de Tráfego) malicioso, batizado com o nome de Parrot TDS, que infectou os servidores de hospedagem de aproximadamente 16.500 sites. São publicações de conteúdo adulto, sites pessoais, de universidades e de governos locais. Como consequência, esses portais tiveram a sua aparência modificada para exibir uma página de phishing informando ao usuário que precisava atualizar o seu navegador. Quando os usuários executavam o arquivo de atualização oferecido, era baixado e instalado um RAT (remote access trojan), dando aos invasores acesso total aos computadores das vítimas.
“Os Sistemas de Direcionamento de Tráfego servem como um gateway para a entrega de várias campanhas maliciosas por meio dos sites infectados”, diz Jan Rubin, pesquisador de malware da Avast. “No momento, uma campanha maliciosa chamada ‘FakeUpdate’ (ou SocGholish) está sendo distribuída via Parrot TDS, mas outras atividades maliciosas podem ser realizadas no futuro também via TDS”, explicou.
Veja isso
Avast anuncia aquisição da canadense SecureKey
Aviação é alvo do ransomware em 2022, prevê Avast
Os pesquisadores Jan Rubin e Pavel Novak acreditam que os invasores estão explorando sites montados com WordPress e Joomla, realizando login em contas de credenciais fracas para obter acesso de administrador ao servidor. “A única coisa que os sites têm em comum é que são sites WordPress e, em alguns casos, Joomla. Portanto, suspeitamos que as credenciais de login fracas foram aproveitadas para infectar os sites com código malicioso”, comenta Pavel Novak, analista de ThreatOps da Avast.
O Parrot TDS permite que os invasores definam os parâmetros para exibir apenas páginas de phishing para as vítimas em potencial – que atendem a determinadas condições -, e analisam o tipo de navegador dos usuários, cookies e de qual site eles vieram. Esses parâmetros são definidos para que cada usuário veja apenas uma página de phishing por vez, evitando sobrecarga nos servidores.
De 1º de março a 29 de março de 2022, a Avast localizou e bloqueou as infecções do Parrot TDS em mais de 600.000 usuários únicos de todo o mundo. O maior número de usuários protegidos foi no Brasil, com mais de 73.000 usuários únicos; Índia, quase 55.000 usuários únicos; e mais de 31.000 usuários únicos dos EUA. Dentre os usuários dos demais países na mira do Parrot TDS estavam Cingapura, Indonésia, Argentina, França, México, Paquistão e Rússia.
Campanha FakeUpdate
A campanha maliciosa “FakeUpdate” usa JavaScript para alterar a aparência dos sites, com o objetivo de exibir mensagens de phishing alegando que o usuário precisa atualizar o seu navegador. Assim como o Parrot TDS, a campanha maliciosa FakeUpdate também realiza um escaneamento preliminar para coletar informações sobre o visitante do site, antes de exibir a mensagem de phishing. Este é um ato de defesa para determinar se deve ou não exibir a mensagem de phishing, entre outras coisas, a verificação de qual produto antivírus está no dispositivo. O arquivo oferecido como arquivo de atualização é, na verdade, uma ferramenta de acesso remoto chamada NetSupport Manager. Os cibercriminosos, por trás da campanha, configuraram a ferramenta de tal forma que o usuário tem muito pouca chance de percebê-la. Se o arquivo for executado pela vítima, os invasores terão acesso total ao seu computador. Os cibercriminosos por trás da campanha FakeUpdate podem alterar a carga útil entregue às vítimas, a qualquer momento.
Além da campanha FakeUpdate, os pesquisadores da Avast observaram outros sites de phishing hospedados nos sites infectados por Parrot TDS, mas não podem vinculá-los de forma conclusiva com o Parrot TDS.
Como os desenvolvedores podem proteger os seus servidores
- Escaneie todos os arquivos do servidor web com um programa antivírus, como o Avast Antivirus;
- Substitua todos os arquivos JavaScript e PHP no servidor web pelos arquivos originais;
- Use a versão mais recente do CMS;
- Use as versões mais recentes dos plugins instalados;
- Verifique se há tarefas em execução automática no servidor web (por exemplo, cron jobs);
- Verifique e configure credenciais seguras, e use credenciais exclusivas para cada serviço;
- Verifique as contas de administrador no servidor, certificando-se de que cada uma delas pertença a desenvolvedores e tenha senhas fortes;
- Quando aplicável, configure 2FA para todas as contas de administrador do servidor web;
- Use plugins de segurança disponíveis (WordPress, Joomla).
Como os visitantes do site podem evitar ser vítimas de phishing
- Se o site visitado parecer diferente do esperado, os visitantes do site devem sair do site e não baixar nenhum arquivo ou inserir qualquer informação;
- Baixe atualizações apenas diretamente das configurações do navegador. Nunca faça o download de atualizações por outros canais.
A análise completa pode ser encontrada no blog Decoded em
“hxxps://decoded.avast.io/janrubin/parrot-tds-takes-over-web-servers-and-threatens-millions/”