Ataques do Sistema de Direção de Tráfego Parrot (TDS)

[post-views]
Abril 15, 2022 · 4 min de leitura
Ataques do Sistema de Direção de Tráfego Parrot (TDS)

Um novo Sistema de Direcionamento de Tráfego (TDS), chamado Parrot TDS, aproveita-se de uma rede de servidores hackeados que hospedam sites para direcionar vítimas que se encaixam no perfil exigido para domínios usados em esquemas de fraude ou distribuição de malware. De acordo com os dados atuais, o número de sites comprometidos chegou a 16.500 e continua crescendo. Os adversários visam principalmente servidores legítimos, bancos de dados de hospedagem e sites de instituições educacionais, recursos governamentais e plataformas de conteúdo adulto.

Detectar Atividades Maliciosas Associadas ao Parrot TDS

Para detectar arquivos maliciosos implantados em seu sistema por operadores do Parrot TDS, utilize a regra baseada em Sigma criada por nosso desenvolvedor do Threat Bounty Furkan Celik, que está sempre à procura de novas ameaças:

Sistema de Direção de Tráfego Parrot (TDS) Sequestra Servidores Web com Instalação do NetSupport RAT (via file_event)

Esta detecção está disponível para as seguintes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro e AWS OpenSearch.

A regra está alinhada com a última versão do framework MITRE ATT&CK® v.10, abordando a tática de Comando e Controle com Software de Acesso Remoto (T1219) como técnica principal.

Navegue pela vasta biblioteca de regras disponíveis na plataforma da SOC Prime para encontrar outros conteúdos relevantes de detecção de ameaças e detectar se o seu sistema está infectado com arquivos maliciosos. Você é um caçador de ameaças profissional esforçando-se para compartilhar sua experiência com a maior comunidade de cibersegurança do mundo? Junte-se à nossa iniciativa de crowdsourcing para recompensas e reconhecimento contínuos com o programa Threat Bounty.

Ver Detecções Junte-se ao Threat Bounty

Campanhas Usando Parrot TDS

De acordo com um novo relatório dos pesquisadores da Avast, o Parrot TDS apareceu por volta de outubro de 2021, com o número de campanhas utilizando esta ferramenta aumentando em fevereiro de 2022.

O Parrot TDS serve como um portal através do qual campanhas mais prejudiciais podem alcançar potenciais vítimas. Neste cenário, o FakeUpdates (também conhecido como SocGholish) altera a aparência dos sites infectados com JavaScript para exibir alertas falsos de atualização do navegador, com um arquivo necessário disponível para download convenientemente. O que as vítimas realmente obtêm é uma ferramenta de acesso remoto.

Quando um usuário enganado visita um dos sites infectados, o Parrot TDS usa um script PHP injetado instalado no site comprometido para coletar informações do cliente e transmitir o pedido ao servidor de comando e controle (C2), permitindo que o atacante execute código arbitrário. O servidor C2 responde com um código JavaScript que é executado no sistema da vítima, potencialmente expondo-os a riscos adicionais. Uma web shell que fornece ao adversário acesso remoto persistente ao servidor web também foi descoberta junto com o script PHP backdoor malicioso. O payload é o NetSupport Client RAT configurado para operar de maneira furtiva, concedendo acesso à máquina comprometida. O web shell mencionado é ainda copiado para múltiplos locais sob nomes quase idênticos daí a origem “papagaio” do apelido do TDS.

Os operadores do Parrot TDS concentram seu interesse malicioso em explorar servidores que hospedam sites baseados em WordPress e Joomla, ao contrário de seu predecessor do início do outono de 2020, o TDS chamado Prometheus. Na cadeia de eliminação do Prometheus TDS, os atores da ameaça utilizaram spam de e-mails com um anexo em HTML, uma URL do Google Docs ou um link para um web shell hospedado em um servidor hackeado para iniciar um processo malicioso. Um URL malicioso levava as vítimas a um backdoor PHP do Prometheus que coletava as informações necessárias e as enviava ao painel de administração para os atores da ameaça por trás dos ataques decidirem se iriam servir malware diretamente ao usuário ou desviá-los para outra URL configurada pelos hackers.

Siga as atualizações do blog da SOC Prime para aprender sobre os mais recentes tópicos quentes de cibersegurança e aprimorar suas habilidades de caça às ameaças. Ansioso para compartilhar seu conteúdo de detecção com a maior comunidade de defesa cibernética do mundo? Pesquisadores de cibersegurança e autores de conteúdo de todo o mundo são altamente bem-vindos para contribuir para a defesa cibernética colaborativa, ganhar recompensas recorrentes e lutar contra ameaças atuais e em evolução.

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Detecção CVE-2025-8088: Zero-Day no WinRAR Está Sendo Ativamente Explorada para Instalar Malware RomCom 6 min de leitura Ameaças Mais Recentes Detecção CVE-2025-8088: Zero-Day no WinRAR Está Sendo Ativamente Explorada para Instalar Malware RomCom by Daryna Olyniychuk Vulnerabilidade CVE-2025-6558: Zero-Day no Google Chrome em Exploração Ativa 4 min de leitura Ameaças Mais Recentes Vulnerabilidade CVE-2025-6558: Zero-Day no Google Chrome em Exploração Ativa by Daryna Olyniychuk CVE-2025-25257: Vulnerabilidade crítica de injeção SQL no FortiWeb permite execução remota de código sem autenticação 4 min de leitura Ameaças Mais Recentes CVE-2025-25257: Vulnerabilidade crítica de injeção SQL no FortiWeb permite execução remota de código sem autenticação by Veronika Telychko
Todas as notícias