Ataques del Sistema de Dirección de Tráfico Parrot (TDS)
Tabla de contenidos:
Un novedoso Sistema de Dirección de Tráfico (TDS), denominado Parrot TDS, aprovecha una red de servidores hackeados que alojan sitios web para redirigir a las víctimas que cumplen con el perfil requerido a dominios utilizados para ejecutar esquemas de estafa o distribuir malware. Según los datos actuales, el número de sitios web comprometidos ha llegado a 16,500 y sigue aumentando. Los adversarios principalmente apuntan a servidores legítimos, bases de datos de hosting y sitios web de instituciones educativas, recursos gubernamentales y plataformas de contenido para adultos.
Detectar Actividad Maliciosa Asociada con Parrot TDS
Para detectar archivos maliciosos plantados en su sistema por los operadores de Parrot TDS, utilice la regla basada en Sigma creada por nuestro desarrollador de Threat Bounty Furkan Celik, quien siempre está atento a las amenazas emergentes:
Esta detección está disponible para las siguientes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro y AWS OpenSearch.
La regla está alineada con el último marco MITRE ATT&CK® v.10, abordando la táctica de Comando y Control con Software de Acceso Remoto (T1219) como la técnica principal.
Explore la vasta biblioteca de reglas disponibles en la plataforma de SOC Prime para encontrar otros contenidos relevantes de detección de amenazas y detectar si su sistema está infectado con archivos maliciosos. ¿Eres un cazador de amenazas profesional que se esfuerza por compartir su experiencia con la comunidad de ciberseguridad más grande del mundo? Únase a nuestra iniciativa de crowdsourcing para obtener recompensas y reconocimiento continuo con el programa Threat Bounty.
Ver Detecciones Unirse a Threat Bounty
Campañas Usando Parrot TDS
Según un nuevo informe de investigadores de Avast, Parrot TDS apareció alrededor de octubre de 2021, con el número de campañas que utilizan esta herramienta repuntando en febrero de 2022.
Parrot TDS sirve como un portal a través del cual campañas más dañinas podrían alcanzar potenciales víctimas. En este escenario, FakeUpdates (también conocido como SocGholish) altera la apariencia de los sitios infectados con JavaScript para mostrar alertas falsas para la actualización del navegador, con un archivo requerido disponible para descargar convenientemente a mano. Lo que las víctimas realmente obtienen es una herramienta de acceso remoto.
Cuando un usuario engañado visita uno de los sitios infectados, Parrot TDS utiliza un script PHP inyectado instalado en el sitio web comprometido para recopilar información del cliente y transmitir la solicitud al servidor de comando y control (C2), permitiendo al atacante ejecutar código arbitrario. El servidor C2 responde con código JavaScript que se ejecuta en el sistema de la víctima y potencialmente los expone a más riesgos. También se descubrió un shell web que proporciona al adversario acceso remoto persistente al servidor web junto con el script PHP de puerta trasera malicioso. La carga útil es el NetSupport Client RAT configurado para ejecutarse de manera sigilosa, otorgando acceso a la máquina comprometida. El mencionado shell web se copia además en múltiples ubicaciones bajo nombres casi idénticos — de ahí el origen de ‘parroting’ del apodo del TDS.
Los operadores de Parrot TDS centran su interés malicioso en explotar servidores que alojan sitios web propulsados por WordPress y Joomla, a diferencia de su predecesor de principios del otoño de 2020, el TDS etiquetado Prometheus. En la cadena de ataque del TDS Prometheus, los actores de amenazas utilizaron correos electrónicos de spam con un archivo adjunto HTML, una URL de Google Docs o un enlace a un shell web alojado en un servidor hackeado para iniciar un proceso maligno. Una URL maliciosa llevaba a las víctimas a una puerta trasera PHP de Prometheus que recopilaba la información requerida y la enviaba al panel de administración para que los actores de amenazas detrás de los ataques decidieran si servir malware directamente al usuario o desviarles a otra URL establecida por los hackers.
Siga las actualizaciones del blog de SOC Prime para conocer los últimos temas candentes de ciberseguridad y mejorar sus habilidades de caza de amenazas. ¿Desea compartir su contenido de detección con la comunidad de defensa cibernética más grande del mundo? Los investigadores de ciberseguridad y autores de contenido de todo el mundo son muy bienvenidos a contribuir a la defensa cibernética colaborativa, ganar recompensas recurrentes y luchar en la batalla contra las amenazas actuales y emergentes.
