11/04/22
Новая система распределения трафика (Traffic Direction System, TDS) под названием Parrot опирается на серверы, на которых размещены 16,5 тыс. web-сайтов университетов, местных органов власти, платформ для взрослых и личных блогов.
Parrot используется для проведения вредоносных кампаний, в ходе которой преступники перенаправляют потенциальных жертв на фишинговые сайты и ресурсы с вредоносным ПО.
Злоумышленники покупают услуги TDS для фильтрации входящего трафика и отправки его в конечный пункт назначения, обслуживающий вредоносный контент. TDS также на легитимных основаниях используются рекламодателями и маркетологами, и некоторые из этих служб в прошлом использовались для проведения кампаний по рассылке вредоносного спама.
Parrot TDS был обнаружен аналитиками из компании Avast и в настоящее время используется для проведения кампании под названием FakeUpdate, которая распространяет троян для удаленного доступа (RAT) NetSupport через поддельные уведомления об обновлениях браузера.
Кампания предположительно началась в феврале 2022 года, но признаки активности Parrot прослеживаются еще в октябре 2021 года. Злоумышленники установили вредоносную web-оболочку на скомпрометированные серверы и скопировали ее в различные места под одинаковыми именами.
Кроме того, злоумышленники используют бэкдор-скрипт PHP, который похищает информацию о клиенте и перенаправляет запросы на командный сервер Parrot TDS.
Большинство пострадавших пользователей находились в Бразилии, Индии, США, Сингапуре и Индонезии. Как сообщили специалисты, профиль пользователя и фильтрация конкретной кампании настолько точно настроены, что злоумышленники могут атаковать конкретного человека из тысяч перенаправленных пользователей.
