Meşru ama güvenliği ihlal edilmiş web siteleri, Windows arka kapısının sağlanması için bir kanal olarak kullanılıyor. BadSpace sahte tarayıcı güncellemeleri kisvesi altında.
German, “Tehdit aktörü, kurbanın sistemine arka kapı açmak için virüs bulaşmış bir web sitesini, bir komuta ve kontrol (C2) sunucusunu, bazı durumlarda sahte bir tarayıcı güncellemesini ve bir JScript indiricisini içeren çok aşamalı bir saldırı zinciri kullanıyor.” siber güvenlik şirketi G DATA söz konusu bir raporda.
Kötü amaçlı yazılımın ayrıntıları ilk kez araştırmacılar tarafından paylaşıldı kevros33 Ve Gi7w0rm geçen ay.
Her şey, WordPress üzerine kurulu olanlar da dahil olmak üzere güvenliği ihlal edilmiş bir web sitesinin, bir kullanıcının siteyi daha önce ziyaret edip etmediğini belirlemek için mantık içeren bir kod enjekte etmesiyle başlar.
Kullanıcının ilk ziyareti olması durumunda kod, cihaz, IP adresi, kullanıcı aracısı ve konum hakkında bilgi toplar ve bunu bir HTTP GET isteği aracılığıyla sabit kodlanmış bir alana iletir.
Sunucudan gelen yanıt daha sonra web sayfasının içeriğini, kötü amaçlı yazılımı doğrudan bırakmak için sahte bir Google Chrome güncelleme açılır penceresiyle veya BadSpace’i indirip çalıştıracak bir JavaScript indiricisiyle kaplıyor.
Kampanyada kullanılan C2 sunucularının analizi açığa çıkarılmamış bağlantılar Aynı mekanizma yoluyla yayılan, JavaScript tabanlı bir indirici kötü amaçlı yazılım olan SocGholish (diğer adıyla FakeUpdates) adı verilen bilinen bir kötü amaçlı yazılıma.
BadSpace, anti-sanal alan kontrolleri kullanmanın ve zamanlanmış görevleri kullanarak kalıcılığı ayarlamanın yanı sıra, sistem bilgilerini toplama ve ekran görüntüleri almasına, cmd.exe kullanarak talimatları yürütmesine, dosyaları okuyup yazmasına ve zamanlananları silmesine olanak tanıyan komutları işleme yeteneğine sahiptir. görev.
Açıklama, hem eSentire hem de Sucuri’nin, bilgi hırsızları ve uzaktan erişim truva atlarını dağıtmak için ele geçirilen sitelerdeki sahte tarayıcı güncelleme tuzaklarından yararlanan farklı kampanyalar konusunda uyardığı dönemde geldi.