Οι νόμιμοι, αλλά παραβιασμένοι ιστότοποι χρησιμοποιούνται για την παράδοση ενός backdoor των Windows με το όνομα BadSpace, μεταμφιεσμένης ως ψεύτικες ενημερώσεις του browser.

«Ο παράγοντας απειλής χρησιμοποιεί μια αλυσίδα επίθεσης που περιλαμβάνει έναν μολυσμένο ιστότοπο, έναν server εντολών και ελέγχου (C2), ψεύτικες ενημερώσεις του browser και ένα πρόγραμμα λήψης JScript για την εγκατάσταση ενός backdoor στο σύστημα του θύματος», ανέφερε η γερμανική εταιρεία cybersecurity G DATA σε έκθεσή της.

See also: Το νέο Cross-Platform «Noodle RAT» Malware στοχεύει Windows και Linux

Οι λεπτομέρειες για το κακόβουλο λογισμικό κοινοποιήθηκαν για πρώτη φορά από τους ερευνητές kevross33 και Gi7w0rm τον περασμένο μήνα. Η διαδικασία ξεκινά με έναν παραβιασμένο ιστότοπο, συμπεριλαμβανομένων αυτών που έχουν κατασκευαστεί στο WordPress, όπου εισάγεται κώδικας που περιέχει τη λογική για να καθορίσει αν ένας χρήστης έχει επισκεφθεί τον ιστότοπο στο παρελθόν.

Εάν πρόκειται για την πρώτη επίσκεψη του χρήστη, συλλέγονται πληροφορίες σχετικά με τη συσκευή, τη διεύθυνση IP, τον χρήστη και την τοποθεσία του, και τις μεταδίδει σε έναν προκαθορισμένο τομέα μέσω αιτήματος HTTP GET.

Η απόκριση από τον server στη συνέχεια επικαλύπτει το περιεχόμενο της ιστοσελίδας με ένα ψεύτικο αναδυόμενο παράθυρο ενημέρωσης του Google Chrome. Αυτό είτε κατεβάζει απευθείας το κακόβουλο λογισμικό είτε χρησιμοποιεί ένα πρόγραμμα λήψης σε JavaScript, το οποίο με τη σειρά του κατεβάζει και εκτελεί το BadSpace.

Read more: Νέα phishing επίθεση διανέμει το More_eggs malware

Μια ανάλυση των C2 servers που χρησιμοποιήθηκαν στην εκστρατεία αποκάλυψε ότι συνδέεται με το γνωστό κακόβουλο λογισμικό SocGholish (γνωστό και ως FakeUpdates). Το κακόβουλο αυτό λογισμικό (malware), το οποίο βασίζεται σε JavaScript, διαδίδεται μέσω του ίδιου μηχανισμού και λειτουργεί ως downloader.

Το BadSpace, εκτός από τη χρήση ελέγχων anti-sandbox και τη ρύθμιση επιμονής μέσω προγραμματισμένων εργασιών, έχει τη δυνατότητα να συλλέγει πληροφορίες συστήματος και να εκτελεί εντολές που του επιτρέπουν να λαμβάνει στιγμιότυπα οθόνης, να εκτελεί οδηγίες μέσω του cmd.exe, να διαβάζει και να γράφει αρχεία, καθώς και να διαγράφει τα προγραμματισμένα έργα.

Τόσο η eSentire όσο και η Sucuri έχουν προειδοποιήσει για διάφορες εκστρατείες που εκμεταλλεύονται ψευδή δολώματα ενημέρωσης browser σε παραβιασμένους ιστότοπους, με σκοπό τη διανομή λογισμικών κλοπής πληροφοριών και trojans απομακρυσμένης πρόσβασης.

See also: Turla Group: Ανέπτυξε δύο backdoors – το LunarWeb και το LunarMail

Source: thehackernews