More

    Hakeri iskorištavaju legitimne web stranice da isporuče BadSpace Windows Backdoor

    Legitimne, ali kompromitovane web stranice se koriste kao kanali za isporuku Windows backdoor-a pod nazivom BadSpace pod maskom lažnih ažuriranja pretraživača.

    „Haker koristi multi-stage napada koji uključuje zaraženu web lokaciju, server za command-and-control (C2), u nekim slučajevima lažno ažuriranje pretraživača i JScript downloader da bi postavio backdoor u sistem žrtve“, nemački Kompanija za cyber-sigurnost G DATA navodi u izvještaju.

    Detalje o zlonamjernom softveru prvi su podijelili istraživači kevross33 i Gi7w0rm prošlog mjeseca.

    Sve počinje sa kompromitovanom web-stranicom, uključujući i one izgrađene na WordPress-u, za ubacivanje koda koji uključuje logiku kako bi se utvrdilo da li je korisnik već posjetio stranicu.

    Ako je to prva korisnikova posjeta, kod prikuplja informacije o uređaju, IP adresi, korisničkom agentu i lokaciji te ih prenosi na tvrdo kodiranu domenu putem HTTP GET zahtjeva.

    Odgovor servera naknadno prekriva sadržaj web stranice lažnim iskačućim prozorom za ažuriranje Google Chrome-a kako bi se direktno ispustio zlonamjerni softver ili JavaScript downloader koji, zauzvrat, preuzima i izvršava BadSpace.

    Analiza C2 servera korištenih u kampanji otkrila je veze sa poznatim zlonamjernim softverom zvanim SocGholish (aka FakeUpdates), zlonamjernim softverom za preuzimanje baziran na JavaScriptu koji se širi putem istog mehanizma.

    BadSpace, pored upotrebe anti-sandbox provjera i postavljanja postojanosti pomoću zakazanih zadataka, sposoban je prikupljati sistemske informacije i obraditi komande koje mu omogućavaju da pravi snimke ekrana, izvršava instrukcije pomoću cmd.exe, čita i piše datoteke i briše zakazane zadatak.

    Ovo otkrivanje dolazi kada su i eSentire i Sucuri upozorili različite kampanje koje koriste lažne mamce za ažuriranje pretraživača na kompromitovanim sajtovima za distribuciju kradljivaca informacija i trojanaca za daljinski pristup.

    Izvor:The Hacker News

    Recent Articles

    spot_img

    Related Stories