Le système de direction du trafic Parrot (TDS) qui a été dévoilé plus tôt cette année a eu un impact plus important qu’on ne le pensait auparavant, selon de nouvelles recherches. Sucuri, qui suit la même campagne depuis février 2019 sous le nom de « NDSW/NDSX », a déclaré que « le malware était l’une des principales infections » détectées en 2021, représentant plus de 61 000 sites Web. Parrot TDS a été documenté en avril 2022 par la société tchèque de cybersécurité Avast, notant que le script PHP avait piégé les serveurs Web hébergeant plus de 16 500 sites Web pour servir de passerelle pour de nouvelles campagnes d’attaque. Cela implique l’ajout d’un morceau de code malveillant à tous les fichiers JavaScript sur des serveurs Web compromis hébergeant des systèmes de gestion de contenu (CMS) tels que WordPress, qui sont à leur tour censés être piratés en tirant parti d’identifiants de connexion faibles et de plugins vulnérables. En plus d’utiliser différentes tactiques d’obscurcissement pour dissimuler le code, le « JavaScript injecté peut également être trouvé bien en retrait afin qu’il paraisse moins suspect à un observateur occasionnel », a déclaré Denis Sinegubko, chercheur à Sucuri.

JavaScript variant using the ndsj variable

L’objectif du code JavaScript est de lancer la deuxième phase de l’attaque, qui consiste à exécuter un script PHP déjà déployé sur le ever et conçu pour recueillir des informations sur un visiteur du site (par exemple, adresse IP, référent, navigateur , etc.) et transmettre les détails à un serveur distant.

Typical obfuscated PHP malware found in NDSW campaign

La troisième couche de l’attaque arrive sous la forme d’un code JavaScript du serveur, qui agit comme un système de direction du trafic pour décider de la charge utile exacte à fournir à un utilisateur spécifique en fonction des informations partagées à l’étape précédente. « Une fois que le TDS a vérifié l’éligibilité d’un visiteur de site spécifique, le script NDSX charge la charge utile finale à partir d’un site Web tiers », a déclaré Sinegubko. Le logiciel malveillant de troisième niveau le plus couramment utilisé est un téléchargeur JavaScript nommé FakeUpdates (alias SocGholish). Rien qu’en 2021, Sucuri a déclaré avoir supprimé Parrot TDS de près de 20 millions de fichiers JavaScript trouvés sur des sites infectés. Au cours des cinq premiers mois de 2022, plus de 2 900 fichiers PHP et 1,64 million de fichiers JavaScript ont été observés contenant le malware. « La campagne de logiciels malveillants NDSW est extrêmement réussie car elle utilise une boîte à outils d’exploitation polyvalente qui ajoute constamment de nouvelles vulnérabilités divulguées et 0-day », a expliqué Sinegubko. « Une fois que le mauvais acteur a obtenu un accès non autorisé à l’environnement, il ajoute diverses portes dérobées et utilisateurs administrateurs CMS pour maintenir l’accès au site Web compromis longtemps après la fermeture de la vulnérabilité d’origine. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *