Parrot TDS: Bösartige Umleitungsskripte auf gehackten Websites

Parrot TDS, eine raffinierte Cyberkampagne, treibt seit Jahren im digitalen Untergrund ihr Unwesen und hinterlässt eine Spur von kompromittierten Websites und gefährdeten Nutzern. Forscher von Palo Alto haben kürzlich Parrot TDS entdeckt, einen Dienst, der verwendet wird, um schädliche Skripte in bestehende JavaScript-Codes auf Servern einzuspritzen.

Ein Blick auf die Entwicklung dieser Taktik:

Frühe Tage (2019-2020):

• Eingeschränkte Codeinjektion: Parrot TDS fügte hauptsächlich bösartigen Code am Ende legitimer JavaScript-Dateien hinzu, was relativ einfach zu erkennen war.
• Grundlegende Verschleierung: Der eingespritzte Code verwendete grundlegende Verschleierungstechniken.

Evolvierende Taktiken (2021-2022):

• Ausgefeiltere Injektion: Die Angreifer begannen, Code in die Mitte bestehender JavaScript-Funktionen einzufügen, was die Erkennung erschwerte.
• Fortgeschrittene Verschleierung: Techniken wie String-Verschlüsselung und Umbenennung von Variablen erschwerten die Analyse.

Aktuelle Entwicklungen (2023-heute):

• Dynamische Injektion: Parrot TDS nutzt nun serverseitige Skriptsprachen wie PHP, um bösartigen Code zur Laufzeit dynamisch in JavaScript-Dateien einzufügen.
• Gezielte Injektion: Es wird nun gezielt Code in bestimmte JavaScript-Bibliotheken oder Plugins, die von anvisierten Websites verwendet werden, eingefügt.

Die Nutzlast:

• Parrot TDS hat vier verschiedene Versionen seines Landeskripts entwickelt, jede mit zunehmend ausgeklügelter Verschleierung.
• Die wahren Schadcodes, gekennzeichnet durch das Schlüsselwort Ndsx, existieren in neun verschiedenen Versionen, wobei V2 über 70% der beobachteten Proben ausmacht.
• Die meisten Parrot TDS Nutzlasten können Skripte von bösartigen URLs herunterladen und komplexe Verschleierungstechniken anwenden.

Globale Verbreitung:

• Parrot TDS ist weltweit verbreitet und betrifft verschiedene Branchen und Nationen, hauptsächlich durch Ausnutzung von Schwachstellen in populären Content-Management-Systemen wie WordPress und Joomla.

Website-Administratoren müssen wachsam sein und ihre Server auf verdächtige Schlüsselwörter und Codes überprüfen. Marcus Hutchins, Malware-Analyst, betont die Notwendigkeit von KI-gestützten Erkennungssystemen, um verdächtige Code-Muster und Anomalien zu identifizieren.