Новая система направления трафика (TDS) под названием Parrot опирается на серверы, на которых размещены 16 500 веб-сайтов университетов, местных органов власти, платформ для контента для взрослых и личных блогов.
Parrot используется для вредоносных кампаний, чтобы перенаправить потенциальных жертв, соответствующих определенному профилю (местоположение, язык, операционная система, браузер) на онлайн-ресурсы, такие как фишинговые сайты и сайты с вредоносным ПО.
Злоумышленники, проводящие вредоносные кампании, покупают услуги TDS для фильтрации входящего трафика и отправки его в конечный пункт назначения, обслуживающий вредоносный контент.
TDS также на законных основаниях используются рекламодателями и маркетологами, и некоторые из этих служб в прошлом использовались для проведения кампаний по рассылке вредоносного спама.
Parrot TDS был обнаружен аналитиками угроз Avast, которые сообщают, что в настоящее время он используется для кампании под названием FakeUpdate, которая доставляет трояны удаленного доступа (RAT) через поддельные уведомления об обновлениях браузера.
Сайт с поддельным предупреждением об обновлении браузера (Avast)
Кампания, похоже, началась в феврале 2022 года, но признаки активности Parrot прослеживаются еще в октябре 2021 года.
«Одна из главных вещей, которая отличает Parrot TDS от других TDS, — это то, насколько он широко распространен и сколько у него потенциальных жертв», — комментирует Avast в отчете.
«Найденные нами скомпрометированные веб-сайты, по-видимому, не имеют ничего общего, кроме серверов, на которых размещены плохо защищенные сайты CMS, такие как сайты WordPress».
