Parrot TDS представляет непосредственный риск для веб-разработчиков по всему миру
29 мая 2022 г.Быть в курсе постоянно меняющейся ситуации в области безопасности — это ключ к обеспечению безопасности веб-серверов и предотвращению потенциальных угроз.
Существует несколько ключевых угроз для веб-серверов, о которых важно знать, чтобы предотвратить или смягчить эти риски. DoS-атаки и DDoS-атаки, SQL инъекции, неисправленное программное обеспечение и межсайтовый скриптинг, и это лишь некоторые из них.
Теперь недавнее открытие исследователей угроз из Avast пролило свет на непосредственный и значительный риск для веб-разработчиков во всем мире под названием Parrot TDS.
Что такое TDS?
Системы управления движением (TDS) не новы. Они были врагами веб-разработчиков в течение нескольких лет. Используемые в качестве целевых страниц, которые направляют ничего не подозревающих пользователей к вредоносному контенту, TDS служат шлюзом для доставки различных вредоносных кампаний через зараженные сайты.
Многие TDS достигли высокого уровня сложности и часто позволяют злоумышленникам устанавливать параметры, которые учитывают геолокацию пользователей, тип браузера, файлы cookie и сайт, с которого они пришли.
Это используется для нацеливания на жертв, которые соответствуют определенным условиям, а затем показывают им только фишинговые страницы. Эти параметры обычно задаются таким образом, чтобы каждому пользователю показывалась фишинговая страница только один раз, чтобы предотвратить перегрузку серверов.
ТДС Parrot
В феврале исследователи угроз Avast обнаружили множество атак с использованием новой системы управления трафиком (TDS) для получения контроля над устройствами жертвы. Новый TDS, названный Parrot TDS, появился в последние месяцы и уже достиг сотен тысяч пользователей по всему миру, заразив различные веб-серверы, на которых размещено более 16 500 веб-сайтов.
Одним из основных факторов, отличающих Parrot TDS от других TDS, является его широкое распространение и количество потенциальных жертв. С 1 марта 2022 г. по 29 марта 2022 г. Avast защитил более 600 000 уникальных пользователей со всего мира, посещавших сайты, зараженные Parrot TDS, в том числе более 11 000 пользователей в Великобритании. За этот период Avast защитил больше всего пользователей в Бразилии (73 000 ) и Индии (55 000); и более 31 000 уникальных пользователей из США.
В данном конкретном случае внешний вид зараженных сайтов изменяется с помощью кампании под названием FakeUpdate, в которой используется JavaScript для отображения поддельных уведомлений для пользователей об обновлении их браузеров, предлагающих файл обновления для загрузки. Файл, который, как мы наблюдали, доставляется жертвам, представляет собой инструмент удаленного доступа под названием NetSupport Manager, который злоумышленники используют не по назначению, чтобы предоставить им полный доступ к компьютерам жертв.
Parrot TDS также создает бэкдор на зараженных веб-серверах в виде PHP-скрипта, который действует как резервный вариант для злоумышленника.
Поддельное обновление
Как и Parrot TDS, FakeUpdate также выполняет предварительное сканирование для сбора информации о посетителе сайта перед отображением фишингового сообщения. Сканирование проверяет, какой антивирусный продукт установлен на устройстве, чтобы определить, следует ли отображать фишинговое сообщение.
Распространяемый инструмент настроен таким образом, что у пользователя очень мало шансов его заметить, и если файл, отображаемый FakeUpdate, запускается жертвой, злоумышленники получают полный доступ к их компьютеру.
Исследователи наблюдали другие фишинговые сайты, размещенные на сайтах, зараженных Parrot TDS, но не могут окончательно связать их с Parrot TDS.
Сайты CMS
Мы считаем, что злоумышленники используют веб-серверы плохо защищенных систем управления контентом, таких как сайты WordPress и Joomla. вход в учетные записи со слабыми учетными данными, чтобы получить доступ администратора к серверам.
WordPress имеет долгую историю как очень богатая и желанная цель для эксплойтов. Это связано с тем, что программное обеспечение основано на запуске серии PHP-скриптов, что является популярным местом для хакеров. Огромное количество компонентов, включая подключаемые модули, темы и другие скрипты, затрудняет предотвращение потенциальных заражений или компрометации.
Кроме того, на многих веб-сайтах WordPress работают более старые версии, которые могут стоять за несколькими крупными выпусками, что приводит чтобы уязвимости безопасности оставались неисправленными. Кроме того, некоторые администраторы не имеют опыта в области оперативной ИТ-безопасности или просто перегружены другими обязанностями и не могут уделять достаточно времени реализации необходимых мер безопасности для обеспечения безопасности сайта WordPress.
Как разработчики могут защитить свои серверы
Тем не менее, есть шаги, которые веб-разработчики могут предпринять для защиты своих серверов от этих атак, начиная с простого сканирования всех файлов на веб-сервере с помощью антивирусной программы. Дальнейшие шаги, которые могут предпринять разработчики:
– Заменить все файлы JavaScript и PHP на веб-сервере оригинальными файлами
– Используйте последнюю версию CMS
- Используйте последние версии установленных плагинов
– Проверьте автоматически выполняющиеся задачи на веб-сервере (например, задания cron)
– Проверяйте и настраивайте безопасные учетные данные и используйте уникальные учетные данные для каждой службы
- Проверьте учетные записи администраторов на сервере, убедившись, что каждая из них принадлежит разработчикам и имеет надежные пароли
– Если применимо, настройте двухфакторную аутентификацию для всех учетных записей администраторов веб-сервера
- Используйте доступные плагины безопасности (WordPress, Joomla)
Как посетители сайта могут не стать жертвами фишинга
Для посетителей сайта как никогда важно сохранять бдительность в Интернете. Если посещаемый сайт выглядит иначе, чем ожидалось, посетители должны покинуть сайт и не загружать какие-либо файлы или вводить какую-либо информацию.
Точно так же посетители должны загружать обновления только непосредственно из настроек браузера, а не через другие каналы.
Оригинал