Законные, но скомпрометированные веб-сайты используются в качестве канала для доставки бэкдора Windows, получившего название BadSpace, под видом поддельных обновлений браузера.
"Субъект угрозы использует многоступенчатую цепочку атак, включающую зараженный веб-сайт, сервер командования и контроля (C2), в некоторых случаях поддельное обновление браузера и загрузчик JScript для развертывания бэкдора в системе жертвы", - говорится в отчете немецкой компании по кибербезопасности G DATA.
Подробностями о вредоносном ПО впервые поделились исследователи kevross33 и Gi7w0rm в прошлом месяце.
Все начинается со взлома веб-сайта, в том числе созданного на WordPress, для внедрения кода, который включает логику для определения, посещал ли пользователь сайт раньше.
При первом посещении пользователем код собирает информацию об устройстве, IP-адресе, агенте пользователя и местоположении и передает ее в жестко запрограммированный домен через HTTP GET-запрос.
В результате ответа сервера содержимое веб-страницы перекрывается всплывающим окном поддельного обновления Google Chrome, которое либо напрямую удаляет вредоносное ПО, либо загрузчик JavaScript, который, в свою очередь, загружает и запускает BadSpace.
Анализ серверов C2, используемых в кампании, выявил связи с известным вредоносным ПО под названием SocGholish (он же FakeUpdates), вредоносным загрузчиком на основе JavaScript, который распространяется по тому же механизму.
BadSpace, помимо использования проверок против изолированной среды и настройки сохраняемости с помощью запланированных задач, способен собирать системную информацию и обрабатывать команды, которые позволяют ему делать скриншоты, выполнять инструкции с помощью cmd.exe, чтения и записи файлов, а также удаления запланированной задачи.
Раскрытие происходит после того, как eSentire и Sucuri предупредили о различных кампаниях, использующих поддельные приманки для обновления браузера на скомпрометированных сайтах для распространения похитителей информации и троянов удаленного доступа.
