Les chercheurs en sécurité qui ont examiné plus de 10 000 scripts utilisés par le Parrot traffic direction system (TDS) ont remarqué une évolution marquée par des optimisations qui rendent le code malveillant plus furtif contre les mécanismes de sécurité.
Parrot TDS a été découvert par la société de cybersécurité Avast en avril 2022 et serait actif depuis 2019, dans le cadre d’une campagne qui cible les sites WordPress et Joomla vulnérables avec du code JavaScript qui redirige les utilisateurs vers un emplacement malveillant.
Lorsque les chercheurs d’Avast l’ont analysé, Parrot avait infecté au moins 16 500 sites Web, indiquant une opération massive.
Les opérateurs derrière Parrot vendent le trafic à des acteurs de la menace, qui l’utilisent sur les utilisateurs visitant des sites infectés pour profiler et rediriger des cibles pertinentes vers des destinations malveillantes telles que des pages de phishing ou des emplacements qui fournissent des logiciels malveillants.
Injections évolutives
Un rapport récent de l’équipe de l’unité 42 de Palo Alto Networks présente des résultats indiquant que le Parrot TDS est toujours très actif et que ses opérateurs continuent de travailler pour rendre leurs injections JavaScript plus difficiles à détecter et à supprimer.
L’unité 42 a analysé 10 000 scripts d’atterrissage de perroquets collectés entre août 2019 et octobre 2023. Les chercheurs ont trouvé quatre versions distinctes qui montrent une progression dans l’utilisation des techniques d’obscurcissement.
Les scripts d’atterrissage de Parrot aident au profilage des utilisateurs et forcent le navigateur de la victime à récupérer un script de charge utile sur le serveur de l’attaquant, qui effectue la redirection.
Selon les chercheurs, les scripts utilisés dans les campagnes Parrot TDS sont identifiés par des mots clés spécifiques dans le code, notamment « ndsj », « ndsw » et « ndsx ».’
L’unité 42 a remarqué que la plupart des infections de l’échantillon examiné sont passées à la version la plus récente du script d’atterrissage, représentant 75% du total, 18% utilisant la version précédente et les autres exécutant des scripts plus anciens.
La quatrième version du script d’atterrissage a introduit les améliorations suivantes par rapport aux anciennes versions:
- Obscurcissement amélioré avec une structure de code complexe et des mécanismes d’encodage.
- Indexation et manipulation différentes des tableaux qui perturbent la reconnaissance des formes et la détection basée sur les signatures.
- Variation dans la gestion des chaînes et des nombres, y compris leur formatage, leur encodage et leur traitement.
Malgré les couches supplémentaires d’obscurcissement et les changements dans la structure du code, la fonctionnalité de base du script d’atterrissage V4 reste cohérente avec les versions précédentes.
Il sert toujours son objectif principal de profiler l’environnement de la victime et de lancer la récupération du script de charge utile si les conditions sont remplies.
En ce qui concerne les scripts de charge utile, qui sont chargés d’effectuer les redirections utilisateur, l’Unité 42 a trouvé neuf variantes. Celles-ci sont pour la plupart identiques, à l’exception d’obscurcissements mineurs et de vérifications du système d’exploitation cible effectuées par certains.
Dans 70% des cas observés, les auteurs de la menace utilisent la version 2 du script de charge utile, qui ne comporte aucun obscurcissement.
Les couches d’obscurcissement ont été ajoutées dans les versions 4-5 et sont devenues encore plus complexes dans les versions 6 à 9. Cependant, ces versions ont rarement été vues sur des sites compromis.
Dans l’ensemble, le perroquet TDS reste une menace active et évolutive qui devient progressivement plus évasive.
Il est conseillé aux propriétaires de sites Web de rechercher sur leurs serveurs des fichiers php malveillants, d’analyser les mots-clés ndsj, ndsw et ndsx, d’utiliser des pare-feu pour bloquer le trafic webshell et des outils de filtrage d’URL pour bloquer les URL et adresses IP malveillantes connues.