超过16500个网站被黑客攻击，通过网络重定向服务传播恶意软件

一个名为Parrot的新交通方向系统（TDS）利用数万个受损网站发起进一步的恶意活动。

Avast研究人员帕维尔·诺瓦克（Pavel Novák）和扬·鲁宾（Jan Rubín）在上周发布的一份报告中说：“TDS已经感染了各种各样的网络服务器，这些服务器承载着超过16500个网站，包括成人内容网站、个人网站、大学网站和地方政府网站”。

威胁参与者使用流量方向系统来确定目标是否感兴趣，并应将其重定向到其控制下的恶意域，并充当网关，用恶意软件危害其系统。

今年1月早些时候，黑莓研究和情报团队详细介绍了另一个名为普罗米修斯的TDS，该TDS已被网络犯罪组织用于不同的活动中，以分发Campo Loader、Hancitor、IcedID、QBot、Buer Loader和Soggholish恶意软件。

Parrot TDS的突出之处在于其巨大的覆盖范围，2022年2月和3月的活动有所增加，因为它的运营商主要选择了托管安全性较差的WordPress网站的服务器，以获得管理员访问权限。

这些恶意重定向的目标用户大多位于巴西、印度、美国、新加坡、印度尼西亚、阿根廷、法国、墨西哥、巴基斯坦和俄罗斯。

研究人员说：“被感染网站的外观被一项名为FakeUpdate（也称为Soggholish）的活动改变，该活动使用JavaScript显示虚假通知，供用户更新浏览器，并提供更新文件供下载”。“观察到的被交付给受害者的文件是一个远程访问工具。”

Parrot TDS通过托管在受损服务器上的注入PHP脚本，旨在在访问其中一个受感染的站点时提取客户端信息并将请求转发给指挥与控制（C2）服务器，此外还允许攻击者在服务器上执行任意代码。

C2服务器的响应以JavaScript代码的形式在客户端机器上执行，使受害者暴露在潜在的新威胁之下。与恶意后门PHP脚本一起观察到的还有一个web shell，它授予对手对web服务器的持久远程访问权限。

Avast称伪造更新活动背后的犯罪行为人是Parrot TDS的主要客户，他说，这些攻击涉及以恶意浏览器更新为幌子，促使用户下载恶意软件。恶意浏览器更新是一种名为“ctfmon.exe”的远程访问特洛伊木马，使攻击者能够完全访问主机。