Das Parrot-Verkehrsleitsystem (TDS), das Anfang dieses Jahres ans Licht kam, hat nach neuen Untersuchungen größere Auswirkungen als bisher angenommen.
Sucuri, das die gleiche Kampagne seit Februar 2019 unter dem Namen „NDSW/NDSX“ verfolgt, sagte, dass „die Malware eine der Top-Infektionen“ war, die im Jahr 2021 entdeckt wurden und mehr als 61.000 Websites betraf.
Parrot TDS wurde im April 2022 vom tschechischen Cybersicherheitsunternehmen Avast dokumentiert, das feststellte, dass das PHP-Skript Webserver umgarnt hatte, auf denen mehr als 16 500 Websites gehostet wurden, um als Einfallstor für weitere Angriffskampagnen zu dienen.
Dabei wird ein bösartiger Code an alle JavaScript-Dateien auf kompromittierten Webservern angehängt, auf denen Content-Management-Systeme (CMS) wie WordPress gehostet werden, die wiederum unter Ausnutzung schwacher Anmeldedaten und anfälliger Plugins angegriffen werden sollen.
Neben der Verwendung verschiedener Verschleierungstaktiken, um den Code zu verbergen, kann das „eingeschleuste JavaScript auch gut eingerückt sein, so dass es für einen zufälligen Beobachter weniger verdächtig aussieht“, so Sucuri-Forscher Denis Sinegubko.
[Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEhP_Wm7lqozB_wQn147Yg7wFNKeMvxgHQviHUevXcQEas6HLkeTOpZcLil-U7zv46Ex5cdF6Gz28QIeXA-XRBx-KHwudRUM5sFSDrgOQ_TdWVL3sTd3hY5kdTh35LVKmhJmd7IEtYTS5g42ZYbgyP_A_yNJxQYzFiqm50Ix0qHtfIzWWftLQibOxpj0/s728-e1000/javascript.jpg]JavaScript-Variante unter Verwendung der ndsj-Variable
Ziel des JavaScript-Codes ist es, die zweite Phase des Angriffs einzuleiten, d. h. ein PHP-Skript auszuführen, das bereits auf der Website installiert ist und dazu dient, Informationen über einen Website-Besucher (z. B. IP-Adresse, Referrer, Browser usw.) zu sammeln und an einen Remote-Server zu übertragen.
[Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEif2_MF0odpDhkl5NZUFRVO9jYoDGGdqMzMocnqf4eGyziYZKBr-NY7ua96rd4sg72PyAw71vScYdKpGA2zsANBOXwXAZt0tTzxLD3e4AYsz6kVfGZXffzSaJt57GznUj4hgh6Ew_6Ckzpr7uv6NcDHEPFKWs06I7az-iemtBqPucj355GkyEsHrqm9/s728-e1000/php.jpg]Typische verschleierte PHP-Malware aus der NDSW-Kampagne
Die dritte Ebene des Angriffs kommt in Form eines JavaScript-Codes vom Server, der als Verkehrsleitsystem fungiert und auf der Grundlage der im vorherigen Schritt ausgetauschten Informationen entscheidet, welche Nutzlast für einen bestimmten Benutzer geliefert werden soll.
„Sobald der TDS die Berechtigung eines bestimmten Website-Besuchers überprüft hat, lädt das NDSX-Skript die endgültige Nutzlast von einer Drittanbieter-Website“, so Sinegubko. Die am häufigsten verwendete Malware der dritten Stufe ist ein JavaScript-Downloader namens FakeUpdates (auch bekannt als SocGholish).
Allein im Jahr 2021 hat Sucuri nach eigenen Angaben Parrot TDS aus fast 20 Millionen JavaScript-Dateien entfernt, die auf infizierten Websites gefunden wurden. In den ersten fünf Monaten des Jahres 2022 wurden über 2.900 PHP- und 1,64 Millionen JavaScript-Dateien mit der Malware entdeckt.
„Die NDSW-Malware-Kampagne ist äußerst erfolgreich, weil sie ein vielseitiges Exploit-Toolkit verwendet, das ständig neue, bereits bekannte und 0-Day-Schwachstellen hinzufügt“, erklärte Sinegubko.
„Sobald sich die Angreifer unbefugten Zugriff auf die Umgebung verschafft haben, fügen sie verschiedene Hintertüren und CMS-Administratoren hinzu, um den Zugriff auf die kompromittierte Website lange nach dem Schließen der ursprünglichen Sicherheitslücke aufrechtzuerhalten.“
Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.
Einige Teile dieses Artikels stammen aus:
thehackernews.com