Brasil, São Paulo, 13 de abril de 2022 - Os pesquisadores de ameaças da Avast (LSE:AVST), líder global em segurança digital e privacidade, descobriram um novo Sistema de Direcionamento de Tráfego (TDS) malicioso, o Parrot TDS, que infectou vários servidores de hospedagem web de mais de 16.500 sites. Os sites afetados variam de sites de conteúdo adulto, sites pessoais, sites de universidades e sites de órgãos de governos locais. Esses portais tiveram a sua aparência modificada para que mostrassem uma página de phishing, alegando que o usuário precisava atualizar o seu navegador. Neste caso, quando os usuários executam o arquivo de atualização do navegador oferecido, uma Ferramenta de Acesso Remoto (RAT) é baixada, dando aos invasores o acesso total aos computadores das vítimas.
"Os Sistemas de Direcionamento de Tráfego servem como um gateway para a entrega de várias campanhas maliciosas, por meio dos sites infectados”, diz Jan Rubin, Pesquisador de Malware da Avast. "No momento, uma campanha maliciosa chamada 'FakeUpdate' (também conhecida como SocGholish), está sendo distribuída via Parrot TDS, mas outras atividades maliciosas podem ser realizadas no futuro via TDS."
Credenciais fracas dão amplo alcance ao Parrot TDS
Os pesquisadores da Avast, Jan Rubin e Pavel Novak acreditam que os invasores estão explorando os servidores web de sistemas de gerenciamento de conteúdos mal protegidos, como sites WordPress e Joomla, realizando login em contas com credenciais fracas para obter acesso de administrador ao servidor.
“A única coisa que os sites têm em comum é que são sites WordPress e, em alguns casos, Joomla. Portanto, suspeitamos que as credenciais de login fracas foram aproveitadas para infectar os sites com código malicioso”, comenta Pavel Novak, analista de ThreatOps da Avast. “A robustez do Parrot TDS e o seu enorme alcance o tornam único”.
O Parrot TDS permite que os invasores definam os parâmetros para exibir apenas páginas de phishing para as vítimas em potencial - que atendem a determinadas condições -, e analisam o tipo de navegador dos usuários, cookies e de qual site eles vieram. Esses parâmetros são definidos para que cada usuário veja uma página de phishing apenas uma vez, evitando que os servidores do Parrot TDS sobrecarreguem.
De 1º de março a 29 de março de 2022, a Avast protegeu mais de 600.000 usuários únicos de todo o mundo visitando sites infectados com Parrot TDS. Durante esse período, a Avast protegeu o maior número de usuários nos seguintes países: Brasil, mais de 73.000 usuários únicos; Índia, quase 55.000 usuários únicos; e mais de 31.000 usuários únicos dos EUA. Dentre os usuários de demais países na mira do Parrot TDS, estavam Cingapura, Indonésia, Argentina, França, México, Paquistão e Rússia.
Mapa ilustrando os países-alvo do Parrot TDS (em março de 2022)
Campanha FakeUpdate
A campanha maliciosa "FakeUpdate" usa JavaScript para alterar a aparência dos sites, com o objetivo de exibir mensagens de phishing alegando que o usuário precisa atualizar o seu navegador. Assim como o Parrot TDS, a campanha maliciosa FakeUpdate também realiza um escaneamento preliminar para coletar informações sobre o visitante do site, antes de exibir a mensagem de phishing. Este é um ato de defesa para determinar se deve ou não exibir a mensagem de phishing, entre outras coisas, a verificação de qual produto antivírus está no dispositivo. O arquivo oferecido como arquivo de atualização é, na verdade, uma ferramenta de acesso remoto chamada NetSupport Manager. Os cibercriminosos, por trás da campanha, configuraram a ferramenta de tal forma que o usuário tem muito pouca chance de percebê-la. Se o arquivo for executado pela vítima, os invasores terão acesso total ao seu computador. Os cibercriminosos por trás da campanha FakeUpdate podem alterar a carga útil entregue às vítimas, a qualquer momento.
Além da campanha FakeUpdate, os pesquisadores da Avast observaram outros sites de phishing hospedados nos sites infectados por Parrot TDS, mas não podem vinculá-los de forma conclusiva com o Parrot TDS.
Como os desenvolvedores podem proteger os seus servidores
- Escaneie todos os arquivos do servidor web com um programa antivírus, como o Avast Antivirus;
- Substitua todos os arquivos JavaScript e PHP no servidor web pelos arquivos originais;
- Use a versão mais recente do CMS;
- Use as versões mais recentes dos plugins instalados;
- Verifique se há tarefas em execução automática no servidor web (por exemplo, cron jobs);
- Verifique e configure credenciais seguras, e use credenciais exclusivas para cada serviço;
- Verifique as contas de administrador no servidor, certificando-se de que cada uma delas pertença a desenvolvedores e tenha senhas fortes;
- Quando aplicável, configure 2FA para todas as contas de administrador do servidor web;
- Use plugins de segurança disponíveis (WordPress, Joomla).
Como os visitantes do site podem evitar ser vítimas de phishing
- Se o site visitado parecer diferente do esperado, os visitantes do site devem sair do site e não baixar nenhum arquivo ou inserir qualquer informação;
- Baixe atualizações apenas diretamente das configurações do navegador. Nunca faça o download de atualizações por outros canais.
A análise completa pode ser encontrada no blog Decoded: https://decoded.avast.io/janrubin/parrot-tds-takes-over-web-servers-and-threatens-millions/