Il sistema di direzione del traffico (TDS) Parrot, venuto alla luce all’inizio dell’anno, ha avuto un impatto maggiore di quanto si pensasse in precedenza, secondo una nuova ricerca.

Sucuri, che sta monitorando la stessa campagna dal febbraio 2019 con il nome di “NDSW/NDSX“, ha dichiarato che “il malware è stato una delle principali infezioni” rilevate nel 2021, con oltre 61.000 siti web.

Parrot TDS è stato documentato nell’aprile 2022 dall’azienda ceca di cybersicurezza Avast, che ha rilevato che lo script PHP aveva irretito i server web che ospitavano più di 16.500 siti web per fungere da gateway per ulteriori campagne di attacco.

Questo comporta l’aggiunta di un pezzo di codice maligno a tutti i file JavaScript sui server web compromessi che ospitano sistemi di gestione dei contenuti (CMS) come WordPress, che a loro volta sarebbero stati violati sfruttando credenziali di accesso deboli e plugin vulnerabili.

Oltre a utilizzare diverse tattiche di offuscamento per nascondere il codice, “il codice JavaScript iniettato può anche essere ben indentato in modo da sembrare meno sospetto a un osservatore casuale“, ha dichiarato Denis Sinegubko, ricercatore di Sucuri.

L’obiettivo del codice JavaScript è quello di dare il via alla seconda fase dell’attacco, che consiste nell’esecuzione di uno script PHP già distribuito sul server e progettato per raccogliere informazioni sui visitatori del sito (ad esempio, indirizzo IP, referrer, browser, ecc.) e trasmettere i dettagli a un server remoto.

Il terzo livello dell’attacco arriva sotto forma di codice JavaScript dal server, che agisce come un sistema di direzione del traffico per decidere l’esatto payload da consegnare a un utente specifico in base alle informazioni condivise nella fase precedente.

“Una volta che il TDS ha verificato l’idoneità di uno specifico visitatore del sito, lo script NDSX carica il payload finale da un sito web di terze parti“, ha dichiarato Sinegubko.

Il malware di terzo livello più comunemente utilizzato è un downloader JavaScript chiamato FakeUpdates (alias SocGholish).

Solo nel 2021, Sucuri ha dichiarato di aver rimosso Parrot TDS da quasi 20 milioni di file JavaScript trovati su siti infetti. Nei primi cinque mesi del 2022, sono stati osservati oltre 2.900 file PHP e 1,64 milioni di file JavaScript contenenti il malware.

“La campagna di malware NDSW ha un grande successo perché utilizza un versatile toolkit di sfruttamento che aggiunge costantemente nuove vulnerabilità divulgate e 0-day“, ha spiegato Sinegubko.

“Una volta ottenuto l’accesso non autorizzato all’ambiente, i malintenzionati aggiungono varie backdoor e utenti admin del CMS per mantenere l’accesso al sito web compromesso anche dopo la chiusura della vulnerabilità originale“.