Websites legítimos, mas comprometidos, estão sendo usados como um canal para fornecer um backdoor do Home windows apelidado BadSpace sob o pretexto de atualizações falsas do navegador.
“O agente da ameaça emprega uma cadeia de ataque em vários estágios envolvendo um web site infectado, um servidor de comando e controle (C2), em alguns casos uma atualização falsa do navegador e um downloader JScript para implantar um backdoor no sistema da vítima”, alemão. empresa de segurança cibernética G DATA disse em um relatório.
Os detalhes do malware foram compartilhados pela primeira vez pelos pesquisadores kevross33 e Gi7w0rm no mês passado.
Tudo começa com um web site comprometido, incluindo aqueles criados em WordPress, para injetar código que incorpora lógica para determinar se um usuário já visitou o web site antes.
Caso seja a primeira visita do usuário, o código coleta informações sobre o dispositivo, endereço IP, agente do usuário e localização, e as transmite para um domínio codificado por meio de uma solicitação HTTP GET.
A resposta do servidor posteriormente sobrepõe o conteúdo da página da net com uma janela pop-up falsa de atualização do Google Chrome para descartar diretamente o malware ou um downloader de JavaScript que, por sua vez, baixa e executa o BadSpace.
Uma análise dos servidores C2 usados na campanha descobriu conexões com um malware conhecido chamado SocGholish (também conhecido como FakeUpdates), um malware de obtain baseado em JavaScript que é propagado através do mesmo mecanismo.
O BadSpace, além de empregar verificações anti-sandbox e configurar persistência usando tarefas agendadas, é capaz de coletar informações do sistema e processar comandos que permitem fazer capturas de tela, executar instruções usando cmd.exe, ler e gravar arquivos e excluir os agendados. tarefa.
A divulgação ocorre no momento em que a eSentire e a Sucuri alertam diferentes campanhas que aproveitam iscas falsas de atualização de navegador em websites comprometidos para distribuir ladrões de informações e trojans de acesso remoto.
