Обфускация и изменения в структуре кода серьёзно затрудняют выявление JavaScript-инъекций.
Исследователи кибербезопасности проанализировали более 10 000 скриптов, используемых системой перенаправления трафика ( TDS ) под названием Parrot, и обнаружили значительное развитие в оптимизации этих скриптов. Улучшения делают вредоносный код менее заметным для систем безопасности и, как следствие, более опасным.
Система Parrot TDS Для просмотра ссылки Войдиили Зарегистрируйся компанией Avast в апреле 2022 года. Предполагается, что она активна с 2019 года. Основная цель — атака уязвимых сайтов на WordPress и Joomla с помощью JavaScript -кода, перенаправляющего пользователей на вредоносные ресурсы.
По данным Avast за 2022 год, система Parrot заразила не менее 16 500 веб-сайтов, что свидетельствует о масштабности операции. Операторы Parrot продают трафик злоумышленникам, использующим его для профилирования посетителей инфицированных сайтов и перенаправления на фишинговые страницы или ресурсы, распространяющие вредоносное ПО.
Команда Unit 42 из Palo Alto Networks в своём Для просмотра ссылки Войдиили Зарегистрируйся указывает, что Parrot TDS остаётся активной, а её операторы продолжают усложнять обнаружение и удаление JavaScript-инъекций. Исследование 10 000 скриптов Parrot, собранных с августа 2019 года по октябрь 2023 года, выявило четыре итерации развития системы, демонстрирующих прогресс в применении методов обфускации.
Вредоносные скрипты Parrot помогают в профилировании пользователей и заставляют браузер жертвы загружать зловредные сценарии с сервера атакующего, осуществляющего перенаправление.
Согласно Unit 42, большинство заражений в анализируемой выборке перешли на самую новую версию скрипта. И неспроста. В четвертой версии были внедрены усовершенствования, такие как сложная структура кода, различные методы индексации массивов и обработки строк, что определённо затрудняет распознавание и обнаружение на основе сигнатур.
Несмотря на дополнительные слои обфускации и изменения в структуре кода, основная функциональность версии 4 остаётся неизменной — профилирование среды жертвы и инициация загрузки вредоносного скрипта.
Помимо этого, Unit 42 обнаружила 9 вариантов скриптов-загрузчиков, ответственных за перенаправление пользователей. В 70% случаев используется версия 2 без обфускации. В версиях 4-5 добавлены слои обфускации, которые стали более сложными в версиях 6-9, хотя эти версии довольно редко встречаются на скомпрометированных сайтах.
Parrot TDS продолжает оставаться активной и эволюционирующей угрозой. Владельцам веб-сайтов рекомендуется проверять сервера на наличие подозрительных PHP -файлов, сканировать ключевые слова ndsj, ndsw и ndsx, использовать файрволы для блокировки веб-шелл трафика и инструменты фильтрации для блокировки известных вредоносных URL и IP -адресов.
Исследователи кибербезопасности проанализировали более 10 000 скриптов, используемых системой перенаправления трафика ( TDS ) под названием Parrot, и обнаружили значительное развитие в оптимизации этих скриптов. Улучшения делают вредоносный код менее заметным для систем безопасности и, как следствие, более опасным.
Система Parrot TDS Для просмотра ссылки Войди
По данным Avast за 2022 год, система Parrot заразила не менее 16 500 веб-сайтов, что свидетельствует о масштабности операции. Операторы Parrot продают трафик злоумышленникам, использующим его для профилирования посетителей инфицированных сайтов и перенаправления на фишинговые страницы или ресурсы, распространяющие вредоносное ПО.
Команда Unit 42 из Palo Alto Networks в своём Для просмотра ссылки Войди
Вредоносные скрипты Parrot помогают в профилировании пользователей и заставляют браузер жертвы загружать зловредные сценарии с сервера атакующего, осуществляющего перенаправление.
Согласно Unit 42, большинство заражений в анализируемой выборке перешли на самую новую версию скрипта. И неспроста. В четвертой версии были внедрены усовершенствования, такие как сложная структура кода, различные методы индексации массивов и обработки строк, что определённо затрудняет распознавание и обнаружение на основе сигнатур.
Несмотря на дополнительные слои обфускации и изменения в структуре кода, основная функциональность версии 4 остаётся неизменной — профилирование среды жертвы и инициация загрузки вредоносного скрипта.
Помимо этого, Unit 42 обнаружила 9 вариантов скриптов-загрузчиков, ответственных за перенаправление пользователей. В 70% случаев используется версия 2 без обфускации. В версиях 4-5 добавлены слои обфускации, которые стали более сложными в версиях 6-9, хотя эти версии довольно редко встречаются на скомпрометированных сайтах.
Parrot TDS продолжает оставаться активной и эволюционирующей угрозой. Владельцам веб-сайтов рекомендуется проверять сервера на наличие подозрительных PHP -файлов, сканировать ключевые слова ndsj, ndsw и ndsx, использовать файрволы для блокировки веб-шелл трафика и инструменты фильтрации для блокировки известных вредоносных URL и IP -адресов.
- Источник новости
- www.securitylab.ru