Cyberthreat.id – Peneliti dari Avast mengungkapkan temuan adanya kampanye pengalihan (redirect) web berbahaya yang telah menginfeksi 16.500 situs untuk menyebarkan malware.

Kampanye ini menargetkan pengguna yang berada di Brazil, India, Amerika Serikat, Singapura, dan Indonesia.

Dikutip dari Bleeping Compute, menurut peneliti kampanye ini memanfaatkan traffic direction system (TDS) terbaru yang disebut Parrot. Kampanye ini telah dimulai pada Februari 2022 tetapi tanda-tanda aktivitas Parrot telah dilacak hingga Oktober 2021.

TDS ini mengandalkan server yang menampung 16.500 situs web universitas, pemerintah daerah, platform konten dewasa, dan blog pribadi.

“Penggunaan Parrot dalam kampanye jahat digunakan untuk mengarahkan calon korban yang cocok dengan profil tertentu (lokasi, bahasa, sistem operasi, browser) ke situs phishing yang mengandung malware,” kata peneliti dalam laporan terbaru Avast.

Pelaku ancaman yang menjalankan kampanye tersebut membeli layanan TDS untuk memfilter lalu lintas masuk dan mengirimkannya ke tujuan akhir yang menyajikan konten berbahaya. TDS juga digunakan secara sah oleh pengiklan dan pemasar, bahkan beberapa dari layanan ini dieksploitasi untuk memfasilitasi kampanye malspam.

Peneliti menyebutkan, Parrot TDS saat ini digunakan untuk kampanye yang disebut FakeUpdate, yang mengirimkan trojan akses jarak jauh (RAT) melalui pemberitahuan pembaruan browser palsu.

“Salah satu hal utama yang membedakan Parrot TDS dari TDS lainnya adalah seberapa luas penyebarannya dan berapa banyak calon korbannya,” kata peneliti Avast dalam laporan tersebut.

Pelaku ancaman yang akan menanam web shell berbahaya di server yang disusupi dan menyalinnya ke berbagai lokasi dengan nama serupa yang mengikuti pola "parroting". Selain itu, pelaku juga akan menggunakan skrip backdoor PHP yang mengekstrak informasi klien dan meneruskan permintaan ke server perintah dan kontrol (C2) Parrot TDS.

“Dalam beberapa kasus, operator menggunakan pintasan tanpa skrip PHP, mengirimkan permintaan langsung ke infrastruktur Parrot,” kata peneliti Avast.

Sementara itu, profil pengguna dan pemfilteran kampanye ini sangat disesuaikan sehingga pelaku dapat menargetkan orang tertentu dari ribuan pengguna yang dialihkan. Hal ini dilakukan dengan mengirimkan target tersebut ke URL unik yang menjatuhkan muatan berdasarkan hardware, software, dan profil jaringan yang ekstensif.

Peneliti menambahkan, kampanye RAT saat ini merupakan operasi utama yang dilayani oleh Parrot TDS. Analis Avast juga memperhatikan beberapa server terinfeksi yang menghosting situs phishing. Halaman arahan tersebut menyerupai halaman login Microsoft yang tampak sah yang meminta pengunjung untuk memasukkan kredensial akun mereka.

Peneliti Avast menyarankan agar pengguna yang menjelajahi web, menjalankan solusi keamanan internet terkini setiap saat adalah cara terbaik untuk menangani pengalihan berbahaya. Sedangkan, untuk admin server web yang berpotensi disusupi, Avast merekomendasikan tindakan berikut:

- Scan semua file di webserver dengan antivirus.

- Ganti semua file JavaScript dan PHP di server web dengan yang asli.

- Gunakan versi CMS dan versi plugin terbaru.

- Periksa tugas yang berjalan secara otomatis di server web seperti tugas cron.

- Selalu gunakan kredensial unik dan kuat untuk setiap layanan dan semua akun, dan tambahkan 2FA jika memungkinkan.

- Gunakan beberapa plugin keamanan yang tersedia untuk WordPress dan Joomla