Se están utilizando sitios web legítimos pero comprometidos como conducto para ofrecer una puerta trasera de Windows denominada mal espacio bajo la apariencia de actualizaciones falsas del navegador.
“El actor de la amenaza emplea una cadena de ataque de varias etapas que involucra un sitio web infectado, un servidor de comando y control (C2), en algunos casos una actualización falsa del navegador y un descargador de JScript para implementar una puerta trasera en el sistema de la víctima”, alemán empresa de ciberseguridad G DATA dicho en un informe.
Los investigadores compartieron por primera vez los detalles del malware. kevross33 y Gi7w0rm el mes pasado.
Todo comienza con un sitio web comprometido, incluidos los creados en WordPress, para inyectar código que incorpora lógica para determinar si un usuario ha visitado el sitio antes.
Si es la primera visita del usuario, el código recopila información sobre el dispositivo, la dirección IP, el agente de usuario y la ubicación, y la transmite a un dominio codificado mediante una solicitud HTTP GET.
Posteriormente, la respuesta del servidor superpone el contenido de la página web con una ventana emergente falsa de actualización de Google Chrome para eliminar directamente el malware o un descargador de JavaScript que, a su vez, descarga y ejecuta BadSpace.
Un análisis de los servidores C2 utilizados en la campaña ha conexiones descubiertas a un malware conocido llamado SocGholish (también conocido como FakeUpdates), un malware de descarga basado en JavaScript que se propaga a través del mismo mecanismo.
BadSpace, además de emplear comprobaciones anti-sandbox y configurar la persistencia mediante tareas programadas, es capaz de recopilar información del sistema y procesar comandos que le permiten tomar capturas de pantalla, ejecutar instrucciones usando cmd.exe, leer y escribir archivos y eliminar archivos programados. tarea.
La divulgación se produce cuando tanto eSentire como Sucuri han advertido sobre diferentes campañas que aprovechan falsas actualizaciones de navegador en sitios comprometidos para distribuir ladrones de información y troyanos de acceso remoto.