{"id":19603,"date":"2022-06-05T16:21:41","date_gmt":"2022-06-05T19:21:41","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=19603"},"modified":"2022-06-05T16:21:43","modified_gmt":"2022-06-05T19:21:43","slug":"malware-controla-sites-na-rede-parrot-tds","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2022\/06\/basico\/malware-controla-sites-na-rede-parrot-tds\/","title":{"rendered":"Malware controla sites na rede Parrot TDS"},"content":{"rendered":"\n

Pesquisadores descobrem malware que controla milhares de sites na rede Parrot TDS<\/span><\/span><\/h1>\n

\u00a0<\/p>\n

O sistema de dire\u00e7\u00e3o de tr\u00e1fego Parrot (TDS) que veio \u00e0 tona no in\u00edcio deste ano teve um impacto maior do que se pensava anteriormente, de acordo com uma nova pesquisa.<\/span><\/p>\n

\u00a0<\/p>\n

A Sucuri, que acompanha a mesma campanha desde fevereiro de 2019 sob o nome “NDSW\/NDSX”, informou que “o malware foi uma das principais infec\u00e7\u00f5es” detectadas em 2021, contabilizando mais de 61.000 sites.<\/span><\/p>\n

\u00a0<\/p>\n

O Parrot TDS foi <\/span>documentado<\/span> em abril de 2022 pela empresa tcheca de seguran\u00e7a cibern\u00e9tica Avast, observando que o script PHP havia enredado servidores da Web que hospedavam mais de 16.500 sites para atuar como um gateway para outras campanhas de ataque.<\/span><\/p>\n

\u00a0<\/p>\n

Isso envolve anexar um c\u00f3digo malicioso a todos os arquivos JavaScript em servidores da Web comprometidos que hospedam sistemas de gerenciamento de conte\u00fado (CMS), como o WordPress, que por sua vez, s\u00e3o violados ao tirar proveito de credenciais de login fracas e plugins vulner\u00e1veis.<\/span><\/p>\n

\u00a0<\/p>\n

\u00a0<\/div>\n

Al\u00e9m de usar diferentes t\u00e1ticas de ofusca\u00e7\u00e3o para ocultar o c\u00f3digo, o “JavaScript injetado tamb\u00e9m pode ser encontrado bem recuado para que pare\u00e7a menos suspeito para um observador casual”, informou o pesquisador da Sucuri Denis <\/span>Sinegubko.<\/span><\/p>\n

\u00a0<\/p>\n\n\n\n\n
\"Parrot<\/a><\/td>\n<\/tr>\n
Variante JavaScript usando a vari\u00e1vel ndsj<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

\u00a0<\/p>\n\n\n\n
\u00a0<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

O objetivo do c\u00f3digo JavaScript \u00e9 iniciar a segunda fase do ataque, que \u00e9 executar um script PHP j\u00e1 implantado no servidor e projetado para coletar informa\u00e7\u00f5es sobre um visitante do site (por exemplo, endere\u00e7o IP, referenciador, navegador, etc.) e transmitir os detalhes para um servidor remoto.<\/span><\/p>\n

\u00a0<\/p>\n\n\n\n\n
\n

\"Parrot<\/a><\/p>\n<\/td>\n<\/tr>\n

Malware PHP ofuscado t\u00edpico encontrado na campanha NDSW<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

\u00a0<\/p>\n\n\n\n
\u00a0<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

A terceira camada do ataque chega na forma de um c\u00f3digo JavaScript do servidor, que atua como um sistema de dire\u00e7\u00e3o de tr\u00e1fego para decidir a carga exata a ser entregue para um usu\u00e1rio espec\u00edfico com base nas informa\u00e7\u00f5es compartilhadas na etapa anterior.<\/span><\/p>\n

\u00a0<\/p>\n

“Depois que o TDS verifica a elegibilidade de um visitante espec\u00edfico do site, o script NDSX carrega a carga final de um site de terceiros”, informou Sinegubko. O malware de terceiro est\u00e1gio mais comumente usado \u00e9 um downloader de JavaScript chamado <\/span>FakeUpdates<\/span> (tamb\u00e9m conhecido como SocGholish).<\/span><\/p>\n

\u00a0<\/p>\n

Somente em 2021, a Sucuri disse que removeu o Parrot TDS de quase 20 milh\u00f5es de arquivos JavaScript encontrados em sites infectados. Nos primeiros cinco meses de 2022, mais de 2.900 PHP e 1,64 milh\u00e3o de arquivos JavaScript foram observados contendo o malware.<\/span><\/p>\n

\u00a0<\/p>\n

\u201cA campanha de malware NDSW \u00e9 extremamente bem-sucedida porque usa um kit de ferramentas de explora\u00e7\u00e3o vers\u00e1til que adiciona constantemente novas vulnerabilidades divulgadas e de Zero-Day\u201d, explicou Sinegubko.<\/span><\/p>\n

\u00a0<\/p>\n

“Depois que o agente mal-intencionado obt\u00e9m acesso n\u00e3o autorizado ao ambiente, ele adiciona v\u00e1rios backdoors e usu\u00e1rios administrativos do CMS para manter o acesso ao site comprometido muito tempo depois que a vulnerabilidade original for fechada.”<\/span><\/p>\n

\u00a0<\/p>\n

Este artigo \u00e9 uma tradu\u00e7\u00e3o de: https:\/\/thehackernews.com\/2022\/06\/researchers-uncover-malware-controlling.html<\/a>\u00a0 (Autor: Ravie Lakshmanan<\/span>)<\/p>\n

\u00a0<\/div>\n\n\n\n\n
\u00a0<\/td>\n<\/tr>\n
\u00a0<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n","protected":false},"excerpt":{"rendered":"

Pesquisadores descobrem malware que controla milhares de sites na rede Parrot TDS \u00a0 O sistema de dire\u00e7\u00e3o de tr\u00e1fego Parrot (TDS) que veio \u00e0 tona no in\u00edcio deste ano teve um impacto maior do que se pensava anteriormente, de acordo com uma nova pesquisa. \u00a0 A Sucuri, que acompanha a mesma campanha desde fevereiro de […]<\/p>\n","protected":false},"author":2,"featured_media":19609,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,105],"tags":[],"class_list":["post-19603","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19603","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=19603"}],"version-history":[{"count":6,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19603\/revisions"}],"predecessor-version":[{"id":19610,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19603\/revisions\/19610"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/19609"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=19603"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=19603"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=19603"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}