Parrot TDS, un script malicioso que redirige a los usuarios a campañas de phising, detectado en más de 16.500 sitios web por Avast

Parrot TDS, un script malicioso que redirige a los usuarios a campañas de phising, detectado en más de 16.500 sitios web por Avast
1 Comentario

Llamamos 'Traffic Direction System' (TDS) a una técnica, usada habitualmente en el ámbito del marketing online, que permite redirigir al usuario un destino web personalizado con base a algún criterio predefinido, como la página de origen (que venga o no de un buscador, por ejemplo), el país de residencia del usuario, el navegador usado, etc (en ocasiones el criterio es meramente aleatorio, en el marco de un test A/B).

Sin embargo, en ocasiones los TDS son empleados con fines maliciosos, y pueden utilizarse —por ejemplo— para crear una trampa en la que un script decide, según las instrucciones de su desarrollador, si mostrar una página web legítima o bien redirigir al usuario a contenido malicioso controlado por el ciberdelincuente.

Un vistazo a…
Ransomware: qué es, cómo infecta y cómo protegerse

Parrot TDS, el último grito en esta clase de ciberataques

Ahora, los investigadores de amenazas de Avast (compañía desarrolladora del software antivirus homónimo) han dado la voz de alarma tras descubrir un nuevo Traffic Direction System malicioso, al que ha bautizado como Parrot TDS, que ya habría infectado varios servidores web que alojan en total más de 16.500 sitios web de todo tipo, desde pornografía a portales institucionales, pasando por meras webs personales.

Según Avast, a lo largo de marzo su antivirus ha protegido "a más de 600.000 usuarios únicos de todo el mundo que visitaron sitios infectados con Parrot TDS".

La infección de las webs por este TDS altera lo que visualiza el usuario al acceder a la web: en lugar del contenido habitual, se muestra una página que afirma que el usuario necesita actualizar su navegador descargando un archivo (todo ello, con base a criterios configurables por el atacante, que supone que el script tenga acceso a las cookies y al historial de su navegador).

Así, cuando el usuario muerde el anzuelo y ejecuta dicho fichero 'de actualización', lo que ocurre es que se descarga una herramienta de acceso remoto (RAT) que da a los atacantes pleno acceso al ordenador de la víctima. Según Jan Rubin, investigador de malware de Avast, los TDS "sirven como puerta de entrada para la distribución de varias campañas maliciosas a través de los sitios infectados":

"Actualmente se está distribuyendo a través de Parrot TDS una campaña maliciosa llamada 'FakeUpdate' (también conocida como SocGholish), al igual que otras actividades maliciosas podrían llevarse a cabo a través de este TDS en el futuro".

Usuarios: recordad que actualmente todos los navegadores descargar sus actualizaciones directamente desde su configuración, nunca a través de otros canales

Rubin y su colega Pavel Novak consideran que los atacantes están explotando los servidores web de sistemas de gestión de contenidos (CMS) poco seguros —como los muy populares WordPress y Joomla— entrando en cuentas con credenciales débiles para obtener acceso de administrador a los servidores.

"Lo único que tienen en común los distintos sitios es que son páginas de WordPress y, en algunos casos, de Joomla. Por lo tanto, sospechamos que se han aprovechado de credenciales de inicio de sesión débiles para infectar las webs con código malicioso".

¿Cómo pueden proteger sus webs los administradores?

  • Analizar todos los archivos del servidor web con un programa antivirus.
  • Reemplazar todos los archivos JavaScript y PHP del servidor web con los archivos originales que deberían estar presentes.
  • Utilizar la última versión del CMS y de los plugins instalados, y recurrir a los plugins de seguridad disponibles.
  • Comprobar si hay tareas que se ejecutan automáticamente en el servidor web (por ejemplo, trabajos cron).
  • Comprobar la seguridad de las credenciales y actualizarlas si no es así (asegurándose de que sean únicas para cada plataforma).
  • Cuando corresponda, configurar 2FA para todas las cuentas de administración del servidor web.
Temas
Inicio
Inicio