Cyberteam

  • Home
  • Attività
    • Network Security Assessment
    • Password Hacking
      • Password Intelligence
      • Password Security Management
      • Multi-Factor Authentication
    • Cyber Intelligence
    • Vulnerability Assessment
    • Penetration Testing
    • Spear Phishing
    • Academy
    • Database Health Check
    • Legal 4 Tech
      • Legal 4 Tech
      • AGID/GDPR
    • Digital Forensics
  • Ethical Hacker
    • Lavora con noi
    • Bibliografie hacker
  • CyT per il sociale
  • Contatti
  • CyberNews

Parrot: il servizio di web redirect dannoso infetta
16.500 siti per inviare malware

Parrot: il servizio di web redirect dannoso infetta
16.500 siti per inviare malware

da Valeria / venerdì, 08 Aprile 2022 / Pubblicato il Cyber Security

Un nuovo sistema di traffic direction (TDS) chiamato Parrot si basa su server che ospitano 16.500 siti Web di università, governi locali, piattaforme di contenuti per adulti e blog personali.

Parrot è utilizzato per reindirizzare potenziali vittime che corrispondono a un profilo specifico (posizione, lingua, sistema operativo, browser) a risorse online come siti di phishing e malware.

I gruppi che utilizzano queste campagne acquistano servizi TDS per filtrare il traffico in entrata ed inviarlo a una destinazione finale contenente malware.

I TDS sono anche legittimamente utilizzati da inserzionisti e operatori di marketing e alcuni di questi servizi sono stati sfruttati in passato per facilitare le campagne di spam.

Parrot utilizzato per la distribuzione RAT

Parrot TDS è attualmente utilizzato per una campagna chiamata FakeUpdate, che fornisce trojan di accesso remoto (RAT) tramite falsi avvisi di aggiornamento del browser.

La campagna sembra essere iniziata nel febbraio 2022, ma i segni dell’attività di Parrot sono stati rintracciati già nell’ottobre 2021. I siti web compromessi non sembrano avere nulla in comune.

Codice JavaScript dannoso visto nei siti compromessi 

Gli hacker hanno installato una web shell dannosa su server compromessi e l’hanno copiata in varie posizioni con nomi simili che seguono uno schema di “Parrot”.

Inoltre, utilizzano uno script backdoor PHP che estrae le informazioni sui client e inoltra le richieste al server di command and control (C2) di Parrot TDS.

In alcuni casi, gli operatori utilizzano una scorciatoia senza lo script PHP, inviando la richiesta direttamente all’infrastruttura Parrot.

Inoltro diretto e proxy di Parrot

La maggior parte degli utenti presi di mira da questi reindirizzamenti dannosi si trovavano in Brasile, India, Stati Uniti, Singapore e Indonesia.

Il profilo utente e il filtro della campagna sono così perfezionati che i malintenzionati possono prendere di mira una persona specifica tra migliaia di utenti.

Valeria

Blue Team Inside, si occupa di sicurezza informatica da più di 5 anni, con un occhio di riguardo alla difesa.

Una Padawan Etichal pronta a difendere l’anello più debole della catena…

Attenzione a non sottovalutarla, se finite vittima di una sua campagna di Spear Phishing non potrete scampare.

Tre caratteristiche che la distinguono:

  • La precisione
  • Sempre alla ricerca di imparare cose nuove
  • La sua auto…comprensiva di antenna

Colore preferito? Verde, ovviamente!

Condividi
Taggato in: cyber security, malware, phishing

Che altro puoi leggere

Anonymous Leak:
10 GB di dati della Nestlé
6 modi in cui le password
non superano i test di sicurezza di base
Il ransomware Hive porta il suo encryptor Linux
per VMware ESXi su Rust

Categorie

  • Analisi Tecnica
  • Cyber Security
  • Dark Web
  • Data Leak
  • GDPR
  • HACKER
  • Industria 4.0
  • IOT
  • MongoDB
  • Password
  • Ransomware
  • Smartworking

Articoli recenti

  • password intelligence

    Controllo di sicurezza: 13.000 password del governo USA violate in 90 minuti

    Poiché i dipendenti del Dipartimento degli Inte...
  • Fuga di dati: circola un database con 235 milioni di account Twitter

    Dopo che a dicembre è stato messo in vendita un...
  • Codice dannoso su PyPI: attacco alla catena di distribuzione delle build notturne di PyTorch

    Chi ha recentemente installato PyTorch-nightly ...
  • Il ransomware Magniber ora infetta gli utenti Windows
    tramite file JavaScript

    Una recente campagna dannosa che ha distribuito...
  • GIFShell – Nuovo attacco che consente agli aggressori di rubare
    i dati utilizzando una GIF dentro Microsoft Teams

    Una nuova tecnica di attacco chiamata “GIFShell...
  • SOCIAL

© 2020.Tutti i diritti riservati. EURO INFORMATICA SPA - Viale della Repubblica 63/4, 36066 Sandrigo (VI)
P. IVA/CF 02367910243 - Cap Soc. 100.000 Euro i.v. - REA 0226275 - VI - Reg. Imp. 30100-VI-116

COOKIE POLICY - PRIVACY POLICY

TORNA SU
  • Sei sotto attacco?