Site icon Kiber.ba

Hakeri iskorištavaju legitimne web stranice da isporuče BadSpace Windows Backdoor

Hakeri iskorištavaju legitimne web stranice da isporuče BadSpace Windows Backdoor-Kiber.ba

Hakeri iskorištavaju legitimne web stranice da isporuče BadSpace Windows Backdoor-Kiber.ba

Legitimne, ali kompromitovane web stranice se koriste kao kanali za isporuku Windows backdoor-a pod nazivom BadSpace pod maskom lažnih ažuriranja pretraživača.

„Haker koristi multi-stage napada koji uključuje zaraženu web lokaciju, server za command-and-control (C2), u nekim slučajevima lažno ažuriranje pretraživača i JScript downloader da bi postavio backdoor u sistem žrtve“, nemački Kompanija za cyber-sigurnost G DATA navodi u izvještaju.

Detalje o zlonamjernom softveru prvi su podijelili istraživači kevross33 i Gi7w0rm prošlog mjeseca.

Sve počinje sa kompromitovanom web-stranicom, uključujući i one izgrađene na WordPress-u, za ubacivanje koda koji uključuje logiku kako bi se utvrdilo da li je korisnik već posjetio stranicu.

Ako je to prva korisnikova posjeta, kod prikuplja informacije o uređaju, IP adresi, korisničkom agentu i lokaciji te ih prenosi na tvrdo kodiranu domenu putem HTTP GET zahtjeva.

Odgovor servera naknadno prekriva sadržaj web stranice lažnim iskačućim prozorom za ažuriranje Google Chrome-a kako bi se direktno ispustio zlonamjerni softver ili JavaScript downloader koji, zauzvrat, preuzima i izvršava BadSpace.

Analiza C2 servera korištenih u kampanji otkrila je veze sa poznatim zlonamjernim softverom zvanim SocGholish (aka FakeUpdates), zlonamjernim softverom za preuzimanje baziran na JavaScriptu koji se širi putem istog mehanizma.

BadSpace, pored upotrebe anti-sandbox provjera i postavljanja postojanosti pomoću zakazanih zadataka, sposoban je prikupljati sistemske informacije i obraditi komande koje mu omogućavaju da pravi snimke ekrana, izvršava instrukcije pomoću cmd.exe, čita i piše datoteke i briše zakazane zadatak.

Ovo otkrivanje dolazi kada su i eSentire i Sucuri upozorili različite kampanje koje koriste lažne mamce za ažuriranje pretraživača na kompromitovanim sajtovima za distribuciju kradljivaca informacija i trojanaca za daljinski pristup.

Izvor:The Hacker News

Exit mobile version