.
برامج ضارة تتحكم في آلاف المواقع في شبكة Parrot TDS التي اكتشفها الباحثون وفقًا لبحث جديد .
كان لنظام توجيه حركة مرور Parrot (TDS) الذي تم الكشف عنه في وقت سابق من هذا العام تأثير أكبر مما كان يعتقد سابقًا.
كما صرحت شركة Sucuri ، التي كانت تتتبع نفس الحملة تحت اسم “NDSW / NDSX” منذ فبراير 2019 .
أن “البرنامج الضار كان أحد أهم الإصابات” المكتشفة في عام 2021 ، وهو ما يمثل أكثر من 61000 موقع.
بينما قامت Avast ، وهي شركة تشيكية للأمن السيبراني ، بتوثيق Parrot TDS في أبريل 2022 .
مشيرة إلى أن برنامج PHP النصي قد أوقع خوادم الويب التي تستضيف أكثر من 16500 موقعًا لتكون بمثابة بوابة لمزيد من حملات الهجوم.
يستلزم ذلك إلحاق شفرة ضارة بجميع ملفات JavaScript الموجودة على خوادم الويب المخترقة .
التي تستضيف أنظمة إدارة المحتوى (CMS) مثل WordPress .
من ناحية أخرى والتي يُقال بعد ذلك أنه تم اختراقها من خلال استغلال بيانات اعتماد تسجيل الدخول الضعيفة والمكونات الإضافية الضعيفة.
بالإضافة إلى استخدام تقنيات التشويش المختلفة لإخفاء الشفرة .
“يمكن أيضًا العثور على JavaScript المحقونة بمسافة بادئة جيدة بحيث تبدو أقل ارتيابًا للمراقب العادي” ، وفقًا لباحث Sucuri Denis Sinegubko.
يتم استخدام المتغير ndsj في JavaScript.
الغرض من كود JavaScript هو بدء المرحلة الثانية من الهجوم ، وهي تنفيذ برنامج PHP النصي تم نشره بالفعل على الخادم .
وهو مصمم لجمع معلومات حول زائر الموقع (على سبيل المثال ، عنوان IP ، المُحيل ، المتصفح ، إلخ. .)
اكتشفت حملة NDSW برمجيات PHP الخبيثة المعتمة
تصل الطبقة الثالثة من الهجوم من الخادم في شكل كود JavaScript .
والذي يعمل كنظام اتجاه حركة المرور.
لتحديد الحمولة الدقيقة التي يجب تسليمها لمستخدم معين بناءً على المعلومات التي تمت مشاركتها في الخطوة السابقة.
وأوضح Sinegubko أنه “بمجرد أن تتحقق TDS من أهلية زائر موقع معين .
كما يقوم البرنامج النصي NDSX بتحميل الحمولة النهائية من موقع ويب تابع لجهة خارجية”.
يعد FakeUpdates ، أداة تنزيل JavaScript ، أكثر البرامج الضارة شيوعًا في المرحلة الثالثة (المعروف أيضًا باسم SocGholish).
ادعى Sucuri أنه أزال Parrot TDS من ما يقرب من 20 مليون ملف JavaScript تم العثور عليها في المواقع المصابة في عام 2021 وحده.
كما تم تنزيل أكثر من 2900 PHP و 1.64 مليون ملف JavaScript في الأشهر الخمسة الأولى من عام 2022.
قال Sinegubko: “إن حملة البرمجيات الخبيثة NDSW ناجحة للغاية لأنها تستخدم مجموعة أدوات استغلال متعددة الاستخدامات يتم تحديثها باستمرار مع نقاط ضعف جديدة تم الكشف عنها ويوم الصفر”.
“بمجرد حصول الفاعل السيئ على وصول غير مصرح به إلى البيئة .
حيث يقوم بتثبيت العديد من الأبواب الخلفية.
وعليه مستخدمي إدارة CMS للحفاظ على الوصول إلى موقع الويب المخترق لفترة طويلة بعد إصلاح الثغرة الأمنية الأصلية.”
اذا وجدت هذه المقالة مثيرة للاهتمام؟ تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره. برامج ضارة تتحكم في آلاف المواقع في شبكة Parrot TDS التي اكتشفها الباحثون