Los investigadores de amenazas de Avast (LSE: AVST), líder mundial en seguridad y privacidad digital, descubrieron un nuevo sistema de dirección de tráfico (TDS por sus siglas en inglés) malicioso, Parrot TDS, el cual ha infectado varios servidores web que albergan más de 16,500 sitios web. Los sitios web afectados van desde sitios de contenido para adultos, páginas personales y sitios webs de universidades hasta sitios gubernamentales, y su apariencia se modifica para mostrar una página de phishing que afirma que el usuario necesita actualizar su navegador. Cuando un usuario ejecuta el archivo de actualización del navegador que se ofrece, se descarga una herramienta de acceso remoto (RAT), lo que brinda a los atacantes acceso completo a las computadoras de las víctimas.
“Los sistemas de dirección de tráfico sirven como puerta de entrada para la entrega de varias campañas maliciosas a través de los sitios infectados”, comentó Jan Rubin, investigador de malware de Avast. “En este momento, se está distribuyendo una campaña maliciosa llamada ‘FakeUpdate’ (también conocida como SocGholish) a través de Parrot TDS, pero se podrían realizar otras actividades maliciosas en el futuro a través de TDS”.
Credenciales débiles que permiten a Parrot TDS un alcance amplio
Los investigadores de Avast, Jan Rubin y Pavel Novak, creen que los atacantes están explotando los servidores web de los sistemas de administración de contenido poco seguros, como los sitios de WordPress y Joomla, al iniciar sesión en cuentas con credenciales débiles para obtener acceso de administrador a los servidores.
“Lo único que tienen en común los sitios es que son sitios de WordPress y, en algunos casos, de Joomla. Por lo tanto, sospechamos que se aprovechan de las credenciales de inicio de sesión débiles para infectar los sitios con código malicioso”, mencionó Pavel Novak, analista de ThreatOps en Avast. “La robustez de Parrot TDS y su gran alcance lo hacen único”.
Parrot TDS permite a los atacantes establecer parámetros para mostrar solo páginas de phishing a víctimas potenciales que cumplen ciertas condiciones, que analizan el tipo de navegador de los usuarios, las cookies y el sitio web del que proceden. Estos parámetros están configurados para que a cada usuario solo se le muestre una vez una página de phishing, para evitar que los servidores de Parrot TDS se sobrecarguen.
Desde el 1 de marzo de 2022 hasta el 29 de marzo de 2022, Avast protegió a más de 600,000 usuarios en todo el mundo que visitaron sitios infectados con Parrot TDS. En este período de tiempo, Avast protegió a la mayoría de los usuarios en: Brasil, más de 73.000 usuarios únicos; India, casi 55.000 usuarios únicos; en Estados Unidos más de 31,000, y más de 15,000 en México.
Campaña FakeUpdate
En el caso de la campaña maliciosa FakeUpdate, esta utiliza JavaScript para cambiar la apariencia del sitio y mostrar mensajes de phishing que afirman que el usuario necesita actualizar su navegador. Al igual que Parrot TDS, FakeUpdate también realiza un escaneo preliminar para recopilar información sobre el visitante del sitio antes de mostrar el mensaje de phishing. Este es un acto de defensa para determinar si mostrar o no el mensaje de phishing, entre otras cosas. El escaneo verifica qué producto antivirus está en el dispositivo. El archivo que se ofrece como actualización es en realidad una herramienta de acceso remoto llamada NetSupport Manager. Los ciberdelincuentes detrás de la campaña han configurado la herramienta de tal manera que el usuario tiene muy pocas posibilidades de darse cuenta. Si la víctima ejecuta el archivo, los atacantes obtienen acceso completo a su computadora y pueden cambiar la carga útil entregada a las víctimas en cualquier momento.
Además de la campaña FakeUpdate, los investigadores de Avast observaron otros sitios de phishing alojados en los sitios infectados de Parrot TDS, sin embargo no pueden relacionarlos de manera concluyente con Parrot TDS.
Cómo pueden los desarrolladores proteger sus servidores
- Analizar todos los archivos en el servidor web con un programa antivirus, como Avast Antivirus
- Reemplazar todos los archivos JavaScript y PHP en el servidor web con archivos originales
- Utilizar la última versión de CMS
- Utilizar las últimas versiones de los complementos instalados
- Comprobar si hay tareas que se ejecutan automáticamente en el servidor web (por ejemplo, trabajos cron)
- Verificar y configurar credenciales seguras y utilizar credenciales únicas para cada servicio
- Verificar las cuentas de administrador en el servidor, asegurándose de que cada una de ellas pertenezca a desarrolladores y tengan contraseñas seguras
- Cuando corresponda, configurar 2FA para todas las cuentas de administrador del servidor web
- Utilizar complementos de seguridad disponibles (WordPress, Joomla)
Cómo pueden los visitantes evitar ser víctimas de phishing
- Si el sitio que se visita parece diferente de lo esperado, los visitantes deben abandonar el sitio y no descargar ningún archivo ni ingresar ningún tipo de información.
- Asimismo, se deben descargar las actualizaciones directamente desde la configuración del navegador, nunca a través de otros canales.
El análisis completo se puede encontrar en el blog Avast Decoded: https://decoded.avast.io/janrubin/parrot-tds-takes-over-web-servers-and-threatens-millions/