安全企业Avast上周披露了一个名为Parrot TDS的恶意流量导向系统(Traffic Direction System,TDS),指出它已感染了托管超过16,500个网站的众多服务器,它们可能是个人网站、大学网站、地方政府网站或是成人网站,再以恶意程序感染访问这些网站的用户。光是在今年3月,Avast便阻止了全球60万名打算访问这些网站的潜在受害者。
Parrot TDS从2021年10月就开始启动,遭黑客入侵的网页服务器采用不同的内容管理系统,绝大多数为不同版本的WordPress,Avast猜测黑客可能是利用这些服务器的安全性不足或是采用脆弱的登录凭证,进而取得服务器的管理权限。
黑客在这服务器上植入了恶意的PHP脚本程序,该脚本程序有两个目的,一是取得诸如IP地址、参照与Cookies等访问者资讯,二是允许黑客于被黑服务器上执行任意程序并创建后门。
近期Avast在Parrot TDS上发现的最大规模的恶意活动为FakeUpdate,该活动会在用户访问已被危害的网页时,变更网页的呈现,要求用户更新Chrome,并提供下载最新版Chrome的按钮,然而,用户所下载的却是恶意程序。
图片来源/Avast
这整个攻击链含有不同的用户过滤机制,Parrot TDS先以IP、参照及Cookies等资讯过滤一次,FakeUpdate则会针对特定用户提供独立的URL,也会扫描用户的个人计算机,取得计算机名称、使用名称、域名名称、制造商、BIOS、杀毒软件列表、MAC地址及操作系统版本等资讯。
最后在特定用户的计算机上安装NetSupport Client远程访问工具,以让黑客随时都能访问受害者计算机,而且黑客关闭了NetSupport Client的聊天功能,并打开了该工具的静音功能,以让受害者难以发现。
图片来源/Avast
Avast建议开发者应该要扫描服务器上的所有文件,以原来的文件置换所有的JavaScript及PHP文件,使用最新的内容管理系统版本,使用最新的插件程序,检查服务器上自动执行的任务,检查是否有可疑的管理员账号,以及激活双因素认证等。