Parrot TDS supone un riesgo inmediato para los desarrolladores web

Mantenerse actualizado con el panorama de seguridad en constante cambio es esencial para mantener la seguridad del servidor web y mantener a raya las posibles amenazas.

Hay varias amenazas clave para los servidores web que es importante tener en cuenta para prevenir y mitigar estos riesgos. Ataques DoS y DDoS, inyecciones de SQL, software sin parches y secuencias de comandos entre sitios, por nombrar algunos.

Hoy, un descubrimiento reciente de los investigadores de amenazas de Avast ha sacado a la luz un riesgo inmediato y significativo para los desarrolladores web de todo el mundo, llamado Parrot TDS.

¿Qué es un TDS?

Los sistemas de dirección de tráfico (TDS) no son nuevos. Han sido el enemigo de los desarrolladores web durante varios años. Utilizado como páginas de destino que dirigen a los usuarios desprevenidos a contenido malicioso, TDS sirve como puerta de entrada para entregar varias campañas maliciosas a través de sitios infectados.

Muchos TDS han alcanzado un alto nivel de sofisticación y, a menudo, permiten a los atacantes establecer parámetros que examinan la ubicación geográfica de los usuarios, el tipo de navegador, las cookies y el sitio web del que proceden.

Esto se usa para atacar a las víctimas que cumplen ciertas condiciones y solo les muestran páginas de phishing. Estas configuraciones generalmente se configuran para que cada usuario solo vea una página de phishing una vez para evitar que los servidores se sobrecarguen.

loro tds

En febrero, los investigadores de amenazas de Avast descubrieron un enjambre de ataques que utilizaban un nuevo sistema de dirección de tráfico (TDS) para controlar los dispositivos de las víctimas. El nuevo TDS, llamado Parrot TDS, ha aparecido en los últimos meses y ya ha llegado a cientos de miles de usuarios en todo el mundo, infectando varios servidores web que albergan más de 16.500 sitios web.

Uno de los principales factores que diferencia a Parrot TDS de otros TDS es su propagación y el número de víctimas potenciales que tiene. Desde el 1 de marzo de 2022 hasta el 29 de marzo de 2022, Avast protegió a más de 600 000 usuarios únicos en todo el mundo que visitaron sitios infectados por Parrot TDS, incluidos más de 11 000 usuarios en el Reino Unido. Durante este período, Avast protegió a la mayoría de los usuarios en Brasil (73 000) e India ( 55.000); y más de 31.000 usuarios únicos en los Estados Unidos.

En este caso particular, la apariencia de los sitios infectados se ve alterada por una campaña llamada FakeUpdate, que utiliza JavaScript para mostrar notificaciones falsas que permiten a los usuarios actualizar sus navegadores, ofreciendo un archivo de actualización para descargar. El archivo que observamos que se entrega a las víctimas es una herramienta de acceso remoto llamada NetSupport Manager que los atacantes utilizan indebidamente para darles acceso total a las computadoras de las víctimas.

Parrot TDS también crea una puerta trasera en los servidores web infectados en forma de script PHP para que sirva como una opción de respaldo para el atacante.

Actualización falsa

Al igual que Parrot TDS, FakeUpdate también realiza un escaneo preliminar para recopilar información sobre el visitante del sitio antes de mostrar el mensaje de phishing. El análisis verifica qué producto antivirus está en el dispositivo para determinar si mostrar o no el mensaje de phishing.

La herramienta distribuida está configurada de tal manera que es muy poco probable que el usuario la note y si la víctima ejecuta el archivo que muestra FakeUpdate, los atacantes obtienen acceso completo a su computadora.

Los investigadores han observado otros sitios de phishing alojados en sitios infectados con Parrot TDS, pero no pueden vincularlos de manera concluyente con Parrot TDS.

sitios web de CMS

Creemos que los atacantes están explotando los servidores web de los sistemas de administración de contenido poco seguros, como los sitios de WordPress y Joomla, iniciando sesión en cuentas con credenciales débiles para obtener acceso de administrador a los servidores.

WordPress tiene una larga historia de ser un objetivo muy rico y deseable para las vulnerabilidades. Esto se debe a que el software se basa en la ejecución de una serie de scripts PHP, que es un lugar popular para los piratas informáticos. La gran cantidad de componentes, incluidos complementos, temas y otros scripts, dificulta la prevención de infecciones o posibles compromisos.

Además de eso, muchos sitios web de WordPress están ejecutando versiones anteriores que podrían causar múltiples lanzamientos importantes, lo que lleva a vulnerabilidades de seguridad sin parches. Además, algunos administradores no tienen experiencia en seguridad operativa de TI o simplemente están sobrecargados con otras responsabilidades y no pueden dedicar suficiente tiempo a implementar las medidas de seguridad necesarias para mantener seguro un sitio de WordPress.

Cómo los desarrolladores pueden proteger sus servidores

Sin embargo, los desarrolladores web pueden tomar algunas medidas para proteger sus servidores de estos ataques, comenzando simplemente escaneando todos los archivos en el servidor web con un programa antivirus. Otros pasos que los desarrolladores pueden tomar incluyen:

– Reemplace todos los archivos JavaScript y PHP en el servidor web con archivos originales
– Utilizar la última versión del CMS
– Use las últimas versiones de los complementos instalados
– Verifique las tareas de ejecución automática en el servidor web (por ejemplo, trabajos cron)
– Verifique y configure credenciales seguras y use credenciales únicas para cada servicio
– Verifique las cuentas de administrador en el servidor, asegurándose de que cada una sea propiedad de los desarrolladores y tenga contraseñas seguras
– Si corresponde, configure 2FA para todas las cuentas de administrador del servidor web
– Usar complementos de seguridad disponibles (WordPress, Joomla)

Cómo los visitantes del sitio pueden evitar ser phishing

Para los visitantes del sitio, es más importante que nunca estar alerta en línea. Si un sitio visitado se ve diferente de lo que esperan, los visitantes deben salir del sitio y no descargar archivos ni ingresar ninguna información.

Asimismo, los visitantes solo deben descargar actualizaciones directamente desde la configuración del navegador y nunca a través de otros canales.

Share This