![chrome.png](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhdbfRNNx-WWYDezf7mCqqOBRyqGSEHO2ViG4pIlt-D49YNy9o_YiPfYlSbG7k32emZ10FfF1qN4msnxRqtsiF-XJskr-bz6clO2d3WVoiolQ9GBY2HdDh4Cw7qOiid8VRyUk-2ogy7RpF-cDTDnHcSUKFFzukRu4OmgFb4ZXnavnYwqyxbQnZZtyF0waxx/s728-rw-e365/chrome.png)
Законные, но скомпрометированные веб-сайты используются в качестве канала для доставки бэкдора Windows, получившего название BadSpace, под видом поддельных обновлений браузера.
"Субъект угрозы использует многоступенчатую цепочку атак, включающую зараженный веб-сайт, сервер командования и контроля (C2), в некоторых случаях поддельное обновление браузера и загрузчик JScript для развертывания бэкдора в системе жертвы", - говорится в отчете немецкой компании по кибербезопасности G DATA.
Подробностями о вредоносном ПО впервые поделились исследователи kevross33 и Gi7w0rm в прошлом месяце.
Все начинается со взлома веб-сайта, в том числе созданного на WordPress, для внедрения кода, который включает логику для определения, посещал ли пользователь сайт раньше.
При первом посещении пользователем код собирает информацию об устройстве, IP-адресе, агенте пользователя и местоположении и передает ее в жестко запрограммированный домен через HTTP GET-запрос.
В результате ответа сервера содержимое веб-страницы перекрывается всплывающим окном поддельного обновления Google Chrome, которое либо напрямую удаляет вредоносное ПО, либо загрузчик JavaScript, который, в свою очередь, загружает и запускает BadSpace.
Анализ серверов C2, используемых в кампании, выявил связи с известным вредоносным ПО под названием SocGholish (он же FakeUpdates), вредоносным загрузчиком на основе JavaScript, который распространяется по тому же механизму.
BadSpace, помимо использования проверок против изолированной среды и настройки сохраняемости с помощью запланированных задач, способен собирать системную информацию и обрабатывать команды, которые позволяют ему делать скриншоты, выполнять инструкции с помощью cmd.exe, чтения и записи файлов, а также удаления запланированной задачи.
Раскрытие происходит после того, как eSentire и Sucuri предупредили о различных кампаниях, использующих поддельные приманки для обновления браузера на скомпрометированных сайтах для распространения похитителей информации и троянов удаленного доступа.