Hackers exploram websites legítimos para fornecer backdoor do Home windows BadSpace
![chrome](https://i0.wp.com/blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhdbfRNNx-WWYDezf7mCqqOBRyqGSEHO2ViG4pIlt-D49YNy9o_YiPfYlSbG7k32emZ10FfF1qN4msnxRqtsiF-XJskr-bz6clO2d3WVoiolQ9GBY2HdDh4Cw7qOiid8VRyUk-2ogy7RpF-cDTDnHcSUKFFzukRu4OmgFb4ZXnavnYwqyxbQnZZtyF0waxx/s728-rw-e365/chrome.png?w=780&resize=780,470&ssl=1)
![Backdoor do Windows BadSpace Backdoor do Windows BadSpace](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhdbfRNNx-WWYDezf7mCqqOBRyqGSEHO2ViG4pIlt-D49YNy9o_YiPfYlSbG7k32emZ10FfF1qN4msnxRqtsiF-XJskr-bz6clO2d3WVoiolQ9GBY2HdDh4Cw7qOiid8VRyUk-2ogy7RpF-cDTDnHcSUKFFzukRu4OmgFb4ZXnavnYwqyxbQnZZtyF0waxx/s728-rw-e365/chrome.png)
Websites legítimos, mas comprometidos, estão sendo usados como um canal para fornecer um backdoor do Home windows apelidado BadSpace sob o pretexto de atualizações falsas do navegador.
“O agente da ameaça emprega uma cadeia de ataque em vários estágios envolvendo um web site infectado, um servidor de comando e controle (C2), em alguns casos uma atualização falsa do navegador e um downloader JScript para implantar um backdoor no sistema da vítima”, alemão. empresa de segurança cibernética G DATA disse em um relatório.
Os detalhes do malware foram compartilhados pela primeira vez pelos pesquisadores kevross33 e Gi7w0rm no mês passado.
Tudo começa com um web site comprometido, incluindo aqueles criados em WordPress, para injetar código que incorpora lógica para determinar se um usuário já visitou o web site antes.
Caso seja a primeira visita do usuário, o código coleta informações sobre o dispositivo, endereço IP, agente do usuário e localização, e as transmite para um domínio codificado por meio de uma solicitação HTTP GET.
![Cíber segurança](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi8m5tu1OzyalgacCKL8x8CMymIRoIPu2r_8PAJC10sL_pSNQwGuaVSj-n_t2jGjsINVQTB-p40vzqE-favY3U6Y6p-chi86Sg844TXrMmyP-IXbbQydezS8fzyxGL-vSsGeEhAHrd1iFxv34xZEY9OY6MM9kCW7GF6acnB2BkRQvYEQsDqfeEf4JlUB9JV/s1200/a_m.png)
A resposta do servidor posteriormente sobrepõe o conteúdo da página da net com uma janela pop-up falsa de atualização do Google Chrome para descartar diretamente o malware ou um downloader de JavaScript que, por sua vez, baixa e executa o BadSpace.
Uma análise dos servidores C2 usados na campanha descobriu conexões com um malware conhecido chamado SocGholish (também conhecido como FakeUpdates), um malware de obtain baseado em JavaScript que é propagado através do mesmo mecanismo.
O BadSpace, além de empregar verificações anti-sandbox e configurar persistência usando tarefas agendadas, é capaz de coletar informações do sistema e processar comandos que permitem fazer capturas de tela, executar instruções usando cmd.exe, ler e gravar arquivos e excluir os agendados. tarefa.
A divulgação ocorre no momento em que a eSentire e a Sucuri alertam diferentes campanhas que aproveitam iscas falsas de atualização de navegador em websites comprometidos para distribuir ladrões de informações e trojans de acesso remoto.