Dịch vụ TDS độc hại xâm phạm 16.500 trang web để phát tán mã độc

Một hệ thống chuyển hướng lưu lượng truy cập (TDS) mới được gọi là Parrot đang lạm dụng các máy chủ lưu trữ khoảng 16.500 trang web [của các trường đại học, chính phủ, trang web dành cho người lớn và blog cá nhân] để chuyển hướng mục tiêu đến các trang web lừa đảo và chứa phần mềm độc hại.

TDS được các nhà quảng cáo và nhà tiếp thị sử dụng một cách hợp pháp. Tuy nhiên, một số dịch vụ này đã bị lạm dụng trong các chiến dịch malspam.

Phát tán RAT

Parrot TDS được phát hiện bởi các nhà phân tích mối đe dọa tại Avast, nó hiện đang được sử dụng trong một chiến dịch có tên FakeUpdate để lây nhiễm trojan truy cập từ xa (RAT) thông qua các thông báo cập nhật trình duyệt giả mạo.

Trang web hiển thị cảnh báo cập nhật trình duyệt giả mạo (Avast)

Chiến dịch này bắt đầu vào khoảng tháng 2 năm 2022, nhưng các dấu hiệu về hoạt động của Parrot đã được phát hiện từ tháng 10 năm 2021.

Trong một báo cáo, Avast cho biết “các trang web bị xâm nhập dường như không có điểm chung nào ngoài việc các máy chủ lưu trữ chúng đều có bảo mật kém, giống như các trang web WordPress.”

Các tác nhân đe dọa đã cài cắm một webshell độc hại trên các máy chủ bị xâm. Ngoài ra, chúng cũng sử dụng một backdoor PHP để trích xuất thông tin máy khách và chuyển tiếp các yêu cầu đến máy chủ điều khiển Parrot TDS.

Avast cho biết chỉ riêng trong tháng 3 năm 2022, các hệ thống của họ đã phát hiện và bảo vệ hơn 600.000 khách hàng khỏi việc truy cập các trang web bị nhiễm mã độc. Điều này cho thấy quy mô lớn của chiến dịch chuyển hướng Parrot.

Hầu hết những người dùng bị nhắm mục tiêu bởi các chuyển hướng độc hại này ở Brazil, Ấn Độ, Hoa Kỳ, Singapore và Indonesia.

Báo cáo của Avast cho thấy những kẻ tấn công có thể nhắm mục tiêu đến một đối tượng cụ thể trong số hàng nghìn người dùng được chuyển hướng và triển khai Trojan NetSupport Client RAT trên các hệ thống mục tiêu. Trojan này hoạt động ở chế độ chạy ngầm, được thiết kế để cung cấp quyền truy cập trực tiếp vào các máy bị xâm phạm.

Lừa đảo thông tin đăng nhập Microsoft

Ngoài phát tán RAT, các nhà phân tích Avast cho biết một số máy chủ bị xâm phạm bởi Parrot TDS đang lưu trữ các trang web lừa đảo.

Các trang này có giao diện giống như trang đăng nhập hợp pháp của Microsoft và yêu cầu người dùng nhập thông tin đăng nhập tài khoản của họ.

Một trong những trang web lừa đảo do Parrot TDS cung cấp (Avast)

Đối với người dùng duyệt web, việc sử dụng một giải pháp bảo mật internet được thiết lập chế độ luôn cập nhật là cách hiệu quả để bảo vệ bạn khỏi các chuyển hướng độc hại.

Đối với quản trị viên của các máy chủ web có khả năng bị xâm phạm, Avast khuyến nghị thực hiện:

- Rà quét tất cả các tệp trên máy chủ web bằng phần mềm chống vi-rút.

- Thay thế tất cả các tệp JavaScript và PHP trên máy chủ web bằng các tệp ban đầu.

- Sử dụng phiên bản CMS và các plugin mới nhất.

- Kiểm tra các tác vụ tự động chạy trên máy chủ web như cron job.

- Luôn sử dụng thông tin đăng nhập mạnh và duy nhất cho mọi dịch vụ và tất cả các tài khoản, đồng thời sử dụng xác thực 2 yếu tố (2FA) nếu có thể.

- Sử dụng một số plugin bảo mật có sẵn cho WordPress và Joomla.

Nguồn: bleepingcomputer.com.