Легитимные веб-сайты, которые были скомпрометированы, теперь используются для распространения бэкдора для Windows, известного как BadSpace, через поддельные обновления браузера. Согласно отчету немецкой компании по кибербезопасности G DATA, злоумышленники применяют многоступенчатую цепочку атак, включающую зараженные веб-сайты, командно-контрольные серверы, поддельные обновления браузера и загрузчик JScript для установки бэкдора на системы жертв.
Многоступенчатая цепочка атак
Детали вредоносного ПО были первоначально опубликованы исследователями kevross33 и Gi7w0rm в прошлом месяце. Процесс начинается с взломанного веб-сайта, включая те, которые построены на WordPress, внедряющего код, который проверяет, посещал ли пользователь сайт ранее. Если это первый визит пользователя, код собирает информацию об устройстве и передает ее на определенный домен через HTTP GET запрос.
После этого ответ сервера накладывает на веб-страницу поддельное всплывающее окно обновления Google Chrome, которое затем загружает вредоносное ПО или загрузчик JavaScript, который загружает и выполняет BadSpace. Анализ командно-контрольных серверов кампании выявил связи с SocGholish, известным вредоносным ПО, распространяемым аналогичными методами.
Функционал BadSpace
BadSpace включает меры против песочницы и устанавливает постоянство с использованием запланированных задач. Он может собирать информацию о системе, делать скриншоты, выполнять команды, читать и записывать файлы, а также удалять запланированные задачи. eSentire и Sucuri также предупреждали о кампаниях, использующих поддельные обновления браузера на скомпрометированных сайтах для распространения информационных воров и троянов удаленного доступа.
Если вам понравилась эта статья, следите за нами в Twitter и LinkedIn для получения эксклюзивного контента.