Los ciberdelincuentes están continuamente desarrollando nuevas técnicas para comprometer la seguridad de los sitios web y una de las tácticas más insidiosas es el uso de scripts de redirección web maliciosos. Estos scripts pueden ser difíciles de detectar y pueden tener consecuencias devastadoras tanto para los propietarios de sitios web como para los usuarios.
Los scripts de redirección web maliciosos son fragmentos de código que se insertan en sitios web para redirigir a los visitantes a otras páginas, a menudo con contenido malicioso. Estos scripts pueden ser utilizados para propagar malware, realizar estafas de phishing, o incluso para manipular el tráfico web para fines fraudulentos. Lo preocupante es que estos scripts pueden ser muy sigilosos, haciéndolos difíciles de detectar tanto para los propietarios del sitio web como para las herramientas de seguridad convencionales.
Conoce más sobre: Detecta si estás en un Sitio Web Pirateado
Expertos en seguridad, al examinar más de 10.000 scripts usados por el sistema de dirección de tráfico (TDS) de Parrot, observaron una evolución caracterizada por optimizaciones que hacen que el código malicioso sea más difícil de detectar por los sistemas de seguridad.
Parrot TDS fue identificado en abril de 2022 y se estima que ha estado operativo desde 2019, formando parte de una campaña que ataca sitios vulnerables de WordPress y Joomla mediante código JavaScript que redirige a los usuarios a sitios maliciosos.
Durante su análisis, se descubrió que Parrot había infectado al menos 16.500 sitios web, señalando así una operación a gran escala. Los responsables de Parrot comercializan el tráfico con actores de ciberamenazas, quienes lo usan para perfilar a usuarios de sitios infectados y redirigir a objetivos seleccionados hacia destinos dañinos, incluyendo sitios de phishing o páginas que distribuyen malware.
Te podrá interesar leer: Balada Injector Compromete +17,000 Sitios WordPress
Un estudio reciente realizado por el equipo de la Unidad 42 de Palo Alto Networks ha revelado que el sistema Parrot TDS sigue muy activo, con sus operadores esforzándose por hacer que sus inyecciones de JavaScript sean más difíciles de detectar y eliminar. La Unidad 42 examinó 10.000 scripts de aterrizaje de Parrot recogidos desde agosto de 2019 hasta octubre de 2023. En su investigación, identificaron cuatro versiones distintas, evidenciando una evolución en el uso de técnicas de ofuscación.
Estos scripts de aterrizaje de Parrot facilitan la creación de perfiles de usuario y fuerzan al navegador de la víctima a cargar un script del servidor del atacante, que luego realiza la redirección. Los investigadores indicaron que los scripts de Parrot TDS se reconocen por palabras clave específicas en el código, como 'ndsj', 'ndsw' y 'ndsx'.
La Unidad 42 observó que la mayoría de las infecciones en la muestra estudiada han adoptado la versión más reciente del script de inicio, representando el 75%, mientras que el 18% usa la versión anterior y el resto emplea versiones más antiguas.
Te podrá interesar leer: Comprendiendo la Nueva Campaña de Inyecciones Web
La cuarta versión del script de aterrizaje presenta mejoras como:
- Ofuscación avanzada con una estructura de código más compleja y mecanismos de codificación.
- Diferentes técnicas de indexación y manejo de arrays, dificultando el reconocimiento de patrones y la detección basada en firmas.
- Variaciones en el manejo de cadenas y números, incluyendo formato, codificación y procesamiento.
A pesar de estas capas adicionales de ofuscación y cambios estructurales, la funcionalidad principal de la versión 4 del script de inicio se mantiene consistente con versiones anteriores, enfocada en perfilar el entorno de la víctima e iniciar la recuperación del script de carga útil bajo ciertas condiciones.
En relación con los scripts de carga útil, responsables de las redirecciones de usuarios, la Unidad 42 encontró nueve variantes. Estas son mayormente idénticas, excepto por ligeras ofuscaciones y comprobaciones del sistema operativo objetivo en algunas de ellas.
En el 70% de los casos observados, los actores de amenazas usan la versión 2 del script de carga útil, que no incluye ofuscación. Las versiones 4 y 5 introdujeron capas de ofuscación, que se hicieron más complejas en las versiones 6 a 9. No obstante, estas últimas versiones rara vez se han observado en sitios comprometidos.
Parrot TDS continúa siendo una amenaza activa y en constante evolución, volviéndose progresivamente más evasiva. Se recomienda a los propietarios de sitios web revisar sus servidores en busca de archivos PHP no autorizados, escanear las palabras clave ndsj, ndsw y ndsx, usar firewalls para bloquear el tráfico de webshell y herramientas de filtrado de URL para bloquear URLs e IPs maliciosas conocidas.
Te podrá interesar leer: Redirecciones a Sitios Maliciosos: Métodos de Ataque en URLs
Los scripts de redirección web maliciosos representan una amenaza significativa para la seguridad de los sitios web. Es esencial que los propietarios de sitios web tomen medidas proactivas para proteger sus sitios y a sus usuarios. Al mantener el software actualizado, implementar medidas de seguridad sólidas y estar siempre atentos a las señales de advertencia, puedes minimizar el riesgo de que tu sitio web sea comprometido. Recuerda, la seguridad en línea es un proceso continuo y requiere atención constante para mantenerse un paso adelante de los ciberdelincuentes.