Злоумышленник может сохранить доступ к сайту даже после исправления уязвимости
Согласно новому исследованию , обнаруженная в начале 2022 года система распределения трафика (Traffic Direction System, TDS) под названием Parrot оказала большее влияние, чем предполагалось ранее. Кампания включает в себя добавление фрагмента вредоносного кода ко всем JavaScript файлам на скомпрометированных веб-серверах с CMS системами. Помимо использования различных тактик обфускации для скрытия кода, «внедренный JavaScript имеет хороший отступ кода, чтобы не выглядеть подозрительно», - сказали исследователи из Sucuri.
Затем выполняется PHP скрипт для сбора информации о посетителе сайта (IP-адрес, браузер. и т.д.) и передачи данных на удаленный сервер. После этого JavaScript код поступает с сервера, который действует как TDS, чтобы определить точную полезную нагрузку для доставки пользователю на основе собранной информации о посетителе. Наиболее часто используемой вредоносной программой является загрузчик JavaScript под названием FakeUpdates (SocGholish).
В 2021 году Sucuri удалила Parrot TDS почти из 20 млн. JavaScript файлов, обнаруженных на зараженных сайтах. С начала 2022 года было обнаружено более 2900 файлов PHP и 1,64 млн. JavaScript файлов с вредоносным ПО.
«После получения доступа к среде, злоумышленник может добавить различные бэкдоры и администраторов CMS, чтобы сохранить доступ к скомпрометированному веб-сайту еще долгое время после закрытия исходной уязвимости», - добавили в компании Sucuri.