Web-сервис Parrot заразил 16,5 тыс. сайтов для распространения вредоносного ПО

Новая система распределения трафика (Traffic Direction System, TDS) под названием Parrot опирается на серверы, на которых размещены 16,5 тыс. web-сайтов университетов, местных органов власти, платформ для взрослых и личных блогов. Parrot используется для проведения вредоносных кампаний, в ходе которой преступники перенаправляют потенциальных жертв на фишинговые сайты и ресурсы с вредоносным ПО.

Злоумышленники покупают услуги TDS для фильтрации входящего трафика и отправки его в конечный пункт назначения, обслуживающий вредоносный контент. TDS также на легитимных основаниях используются рекламодателями и маркетологами, и некоторые из этих служб в прошлом использовались для проведения кампаний по рассылке вредоносного спама.

Parrot TDS был обнаружен аналитиками из компании Avast и в настоящее время используется для проведения кампании под названием FakeUpdate, которая распространяет троян для удаленного доступа (RAT) NetSupport через поддельные уведомления об обновлениях браузера.

Кампания предположительно началась в феврале 2022 года, но признаки активности Parrot прослеживаются еще в октябре 2021 года. Злоумышленники установили вредоносную web-оболочку на скомпрометированные серверы и скопировали ее в различные места под одинаковыми именами.

Кроме того, злоумышленники используют бэкдор-скрипт PHP, который похищает информацию о клиенте и перенаправляет запросы на командный сервер Parrot TDS.

Большинство пострадавших пользователей находились в Бразилии, Индии, США, Сингапуре и Индонезии. Как сообщили специалисты, профиль пользователя и фильтрация конкретной кампании настолько точно настроены, что злоумышленники могут атаковать конкретного человека из тысяч перенаправленных пользователей.