Papağan adı verilen yeni bir trafik yönü sistemi (TDS), 16.500 üniversitelerin, yerel yönetimler, yetişkin içerik platformları ve kişisel bloglara ev sahipliği yapan sunuculara dayanıyor.
Papağan'ın kullanımı, kötü amaçlı kampanyaların, phishing ve kötü amaçlı yazılım bırakarak siteler gibi çevrimiçi kaynaklara belirli bir profili (konum, dil, işletim sistemi, tarayıcı) eşleşen potansiyel mağdurları yönlendirmek içindir.
Zararlı kampanyaları yapan tehdit aktörleri, gelen trafiği filtrelemek ve kötü amaçlı içerik servis eden son bir hedefe göndermek için TDS hizmetlerini satın alır.
TDS ayrıca reklamverenler ve pazarlamacılar tarafından yasal olarak kullanılmaktadır ve bu hizmetlerden bazıları, Malspam kampanyalarını kolaylaştırmak için geçmişte birden yararlanılmıştır.
Parrot TDS, Halen FakeUpdate adlı bir kampanya için kullanıldığını bildiren, Sahte tarayıcı güncelleme bildirimleri yoluyla uzaktan erişim trojanlarını (sıçanlar) sunan bir kampanya için tehdit analistleri tarafından keşfedildi.
Kampanya, Şubat 2022'de başlamış gibi görünüyor ancak Papağan Etkinliği belirtileri Ekim 2021 kadarıyla takip edildi.
"Diğer TD'lerden Papağan TDS'sini ayıran ana şeylerden biri, ne kadar yaygın olduğu ve kaç tane potansiyel kurban olduğunu," dedi.
"Bulduğumuz tehlikeli web siteleri, WordPress siteleri gibi kötü güvenli CMS sitelerini barındıran sunuculardan başka hiçbir şeyin dışında bir şey olmadığı görülüyor."
Tehdit aktörleri, tehlikeye giren sunucularda kötü amaçlı bir web kabuğu eklediler ve "papağan" bir deseni izleyen benzer isimler altında çeşitli yerlere kopyaladı.
Dahası, rakipler, müşteri bilgilerini çıkaran ve PARROT TDS komutu ve kontrol (C2) sunucusuna istekleri ileten bir PHP arka kapı betiği kullanır.
Bazı durumlarda, operatörler PHP komut dosyası olmadan bir kısayol kullanır, talebi doğrudan papağan altyapısına gönderir.
Avast, 2022'de tek başına hizmetleri tek başına, bu enfekte olmuş siteleri ziyaret etmekten, parrot yönlendirme ağ geçidinin büyük ölçeğini gösteren, 600.000'den fazla müşteriden fazlasını korumuştur.
Bu kötü amaçlı yönlendirmeler tarafından hedeflenen kullanıcıların çoğu Brezilya, Hindistan, Amerika Birleşik Devletleri, Singapur ve Endonezya'daydı.
Rapordaki AVAST detayları olarak, özel kampanyanın kullanıcı profili ve filtreleme, kötü amaçlı aktörlerin, binlerce yönlendirilmiş kullanıcılardan belirli bir kişiyi hedefleyebilecekleri çok iyi ayarlanmıştır.
Bu, bu hedefi, kapsamlı donanım, yazılım ve ağ profiline dayanarak benzersiz yük bırakarak URL'lere göndererek elde edilir.
Hedeflerin sistemlerine düşülen yükün, NetSupport Client Rat, Sessiz Modda çalışacak şekilde ayarlanmıştır; bu, uzgılanmış makinelere doğrudan erişim sağlayan sessiz modda çalışacak.
Sıçan kampanyası şu anda Parrot TDS tarafından sunulan ana işlem olsa da, avast analistleri de barındıran birçok virüslü sunucular da buldu.
Bu açılış sayfaları, ziyaretçilerin hesap bilgilerini girmesini isteyen meşru görünümlü bir Microsoft giriş sayfasına benziyor.
Web'e göz atan kullanıcılar için, her zaman çalışan bir İnternet güvenlik çözümüne sahip olmak, kötü amaçlı yönlendirmelerle başa çıkmanın en iyi yoludur.
Potansiyel olarak tehlikeye giren web sunucularının yöneticileri için, AVAST aşağıdaki işlemleri önerir:
Sakallı Barbie Hackers Catfish Yüksek Sıralamalı İsrail Yetkilileri
Springshell, altı savunmasız org cinsinden birini hedefe saldırır.
Yılan Köpüklü Yazılım Kampanyası Çikolata Windows Paket Yöneticisi
Moller bilgisayar korsanları, yeni kötü amaçlı yazılımları son derece kaçınılmaz kampanyada kullanıyor
Bilgisayar korsanları forumlarda sahte kötü amaçlı yazılımları iterek hackerlardan çalınır
Kaynak: Bleeping Computer