Sistem arah lalu lintas burung beo (TDS) yang terungkap awal tahun ini memiliki dampak yang lebih besar dari yang diperkirakan sebelumnya, menurut penelitian baru.
Sucuri, yang telah melacak kampanye yang sama sejak Februari 2019 dengan nama “NDSW/NDSX,” mengatakan bahwa “malware itu adalah salah satu infeksi teratas” yang terdeteksi pada tahun 2021, yang mencakup lebih dari 61.000 situs web.
Parrot TDS didokumentasikan pada April 2022 oleh perusahaan keamanan siber Ceko Avast, mencatat bahwa skrip PHP telah menjerat server web yang menghosting lebih dari 16.500 situs web untuk bertindak sebagai pintu gerbang untuk kampanye serangan lebih lanjut.
Ini melibatkan penambahan sepotong kode berbahaya ke semua file JavaScript di server web yang disusupi yang menghosting sistem manajemen konten (CMS) seperti WordPress yang pada gilirannya dikatakan dilanggar dengan memanfaatkan kredensial login yang lemah dan plugin yang rentan.
Selain menggunakan taktik kebingungan yang berbeda untuk menyembunyikan kode, “JavaScript yang disuntikkan juga dapat ditemukan dengan indentasi yang baik sehingga terlihat kurang mencurigakan bagi pengamat biasa,” kata peneliti Sucuri Denis Sinegubko.
 |
| Varian JavaScript menggunakan variabel ndsj |
Tujuan dari kode JavaScript adalah untuk memulai serangan tahap kedua, yaitu untuk mengeksekusi skrip PHP yang telah digunakan sebelumnya dan dirancang untuk mengumpulkan informasi tentang pengunjung situs (misalnya, alamat IP, perujuk, browser). , dll.) dan mengirimkan detailnya ke server jauh.
 |
| Malware PHP umum yang dikaburkan ditemukan di kampanye NDSW |
Lapisan ketiga serangan datang dalam bentuk kode JavaScript dari server, yang bertindak sebagai sistem arah lalu lintas untuk memutuskan muatan yang tepat untuk dikirimkan kepada pengguna tertentu berdasarkan informasi yang dibagikan pada langkah sebelumnya.
“Setelah TDS memverifikasi kelayakan pengunjung situs tertentu, skrip NDSX memuat muatan akhir dari situs web pihak ketiga,” kata Sinegubko. Malware tahap ketiga yang paling umum digunakan adalah pengunduh JavaScript bernama FakeUpdates (alias SocGholish).
Pada tahun 2021 saja, Sucuri mengatakan telah menghapus Parrot TDS dari hampir 20 juta file JavaScript yang ditemukan di situs yang terinfeksi. Dalam lima bulan pertama tahun 2022, lebih dari 2.900 PHP dan 1,64 juta file JavaScript telah diamati mengandung malware.
“Kampanye malware NDSW sangat sukses karena menggunakan toolkit eksploitasi serbaguna yang terus-menerus menambahkan kerentanan baru dan kerentanan 0 hari,” jelas Sinegubko.
“Setelah aktor jahat mendapatkan akses tidak sah ke lingkungan, mereka menambahkan berbagai pintu belakang dan pengguna admin CMS untuk mempertahankan akses ke situs web yang disusupi lama setelah kerentanan asli ditutup.”