Обфускация и изменения в структуре кода серьёзно затрудняют выявление JavaScript-инъекций.
Исследователи кибербезопасности проанализировали более 10 000 скриптов, используемых системой перенаправления трафика (TDS) под названием Parrot, и обнаружили значительное развитие в оптимизации этих скриптов. Улучшения делают вредоносный код менее заметным для систем безопасности и, как следствие, более опасным.
Система Parrot TDS была впервые обнаружена компанией Avast в апреле 2022 года. Предполагается, что она активна с 2019 года. Основная цель — атака уязвимых сайтов на WordPress и Joomla с помощью JavaScript-кода, перенаправляющего пользователей на вредоносные ресурсы.
По данным Avast за 2022 год, система Parrot заразила не менее 16 500 веб-сайтов, что свидетельствует о масштабности операции. Операторы Parrot продают трафик злоумышленникам, использующим его для профилирования посетителей инфицированных сайтов и перенаправления на фишинговые страницы или ресурсы, распространяющие вредоносное ПО.
Команда Unit 42 из Palo Alto Networks в своём недавнем отчёте указывает, что Parrot TDS остаётся активной, а её операторы продолжают усложнять обнаружение и удаление JavaScript-инъекций. Исследование 10 000 скриптов Parrot, собранных с августа 2019 года по октябрь 2023 года, выявило четыре итерации развития системы, демонстрирующих прогресс в применении методов обфускации.
Вредоносные скрипты Parrot помогают в профилировании пользователей и заставляют браузер жертвы загружать зловредные сценарии с сервера атакующего, осуществляющего перенаправление.
Согласно Unit 42, большинство заражений в анализируемой выборке перешли на самую новую версию скрипта. И неспроста. В четвертой версии были внедрены усовершенствования, такие как сложная структура кода, различные методы индексации массивов и обработки строк, что определённо затрудняет распознавание и обнаружение на основе сигнатур.
Несмотря на дополнительные слои обфускации и изменения в структуре кода, основная функциональность версии 4 остаётся неизменной — профилирование среды жертвы и инициация загрузки вредоносного скрипта.
Помимо этого, Unit 42 обнаружила 9 вариантов скриптов-загрузчиков, ответственных за перенаправление пользователей. В 70% случаев используется версия 2 без обфускации. В версиях 4-5 добавлены слои обфускации, которые стали более сложными в версиях 6-9, хотя эти версии довольно редко встречаются на скомпрометированных сайтах.
Parrot TDS продолжает оставаться активной и эволюционирующей угрозой. Владельцам веб-сайтов рекомендуется проверять сервера на наличие подозрительных PHP-файлов, сканировать ключевые слова ndsj, ndsw и ndsx, использовать файрволы для блокировки веб-шелл трафика и инструменты фильтрации для блокировки известных вредоносных URL и IP-адресов.
Одно найти легче, чем другое. Спойлер: это не темная материя