Legitimne, ali kompromitovane web stranice se koriste kao kanali za isporuku Windows backdoor-a pod nazivom BadSpace pod maskom lažnih ažuriranja pretraživača.
„Haker koristi multi-stage napada koji uključuje zaraženu web lokaciju, server za command-and-control (C2), u nekim slučajevima lažno ažuriranje pretraživača i JScript downloader da bi postavio backdoor u sistem žrtve“, nemački Kompanija za cyber-sigurnost G DATA navodi u izvještaju.
Detalje o zlonamjernom softveru prvi su podijelili istraživači kevross33 i Gi7w0rm prošlog mjeseca.
Sve počinje sa kompromitovanom web-stranicom, uključujući i one izgrađene na WordPress-u, za ubacivanje koda koji uključuje logiku kako bi se utvrdilo da li je korisnik već posjetio stranicu.
Ako je to prva korisnikova posjeta, kod prikuplja informacije o uređaju, IP adresi, korisničkom agentu i lokaciji te ih prenosi na tvrdo kodiranu domenu putem HTTP GET zahtjeva.
Odgovor servera naknadno prekriva sadržaj web stranice lažnim iskačućim prozorom za ažuriranje Google Chrome-a kako bi se direktno ispustio zlonamjerni softver ili JavaScript downloader koji, zauzvrat, preuzima i izvršava BadSpace.
Analiza C2 servera korištenih u kampanji otkrila je veze sa poznatim zlonamjernim softverom zvanim SocGholish (aka FakeUpdates), zlonamjernim softverom za preuzimanje baziran na JavaScriptu koji se širi putem istog mehanizma.
BadSpace, pored upotrebe anti-sandbox provjera i postavljanja postojanosti pomoću zakazanih zadataka, sposoban je prikupljati sistemske informacije i obraditi komande koje mu omogućavaju da pravi snimke ekrana, izvršava instrukcije pomoću cmd.exe, čita i piše datoteke i briše zakazane zadatak.
Ovo otkrivanje dolazi kada su i eSentire i Sucuri upozorili različite kampanje koje koriste lažne mamce za ažuriranje pretraživača na kompromitovanim sajtovima za distribuciju kradljivaca informacija i trojanaca za daljinski pristup.
Izvor:The Hacker News