Des sites Web légitimes mais compromis sont utilisés comme canal pour fournir une porte dérobée Windows baptisée Mauvais espace sous couvert de fausses mises à jour du navigateur.
« L’auteur de la menace utilise une chaîne d’attaque en plusieurs étapes impliquant un site Web infecté, un serveur de commande et de contrôle (C2), dans certains cas une fausse mise à jour du navigateur et un téléchargeur JScript pour déployer une porte dérobée dans le système de la victime », en allemand société de cybersécurité G DATA dit dans un rapport.
Les détails du malware ont été partagés pour la première fois par les chercheurs kevross33 et Gi7w0rm le mois dernier.
Tout commence avec un site Web compromis, y compris ceux construits sur WordPress, pour injecter du code intégrant une logique permettant de déterminer si un utilisateur a déjà visité le site.
S’il s’agit de la première visite de l’utilisateur, le code collecte des informations sur l’appareil, l’adresse IP, l’agent utilisateur et l’emplacement, et les transmet à un domaine codé en dur via une requête HTTP GET.
La réponse du serveur recouvre ensuite le contenu de la page Web avec une fausse fenêtre contextuelle de mise à jour de Google Chrome pour supprimer directement le logiciel malveillant ou un téléchargeur JavaScript qui, à son tour, télécharge et exécute BadSpace.
Une analyse des serveurs C2 utilisés dans la campagne a connexions découvertes à un malware connu appelé SocGholish (alias FakeUpdates), un malware de téléchargement basé sur JavaScript qui se propage via le même mécanisme.
BadSpace, en plus d’utiliser des contrôles anti-sandbox et de configurer la persistance à l’aide de tâches planifiées, est capable de collecter des informations système et de traiter des commandes qui lui permettent de prendre des captures d’écran, d’exécuter des instructions à l’aide de cmd.exe, de lire et d’écrire des fichiers et de supprimer les tâches planifiées. tâche.
Cette divulgation intervient alors qu’eSentire et Sucuri ont mis en garde contre différentes campagnes exploitant de fausses mises à jour de navigateur sur des sites compromis pour diffuser des voleurs d’informations et des chevaux de Troie d’accès à distance.