Meşru ama güvenliği ihlal edilmiş web siteleri, Windows arka kapısının sağlanması için bir kanal olarak kullanılıyor. BadSpace sahte tarayıcı güncellemeleri kisvesi altında.
German, “Tehdit aktörü, kurbanın sistemine arka kapı açmak için virüs bulaşmış bir web sitesini, bir komuta ve kontrol (C2) sunucusunu, bazı durumlarda sahte bir tarayıcı güncellemesini ve bir JScript indiricisini içeren çok aşamalı bir saldırı zinciri kullanıyor.” Siber güvenlik şirketi G DATA bir raporda şunları söyledi.
Kötü amaçlı yazılımın ayrıntıları ilk olarak geçen ay araştırmacılar kevross33 ve Gi7w0rm tarafından paylaşılmıştı.
Her şey, WordPress üzerinde oluşturulmuş olanlar da dahil olmak üzere güvenliği ihlal edilmiş bir web sitesinin, bir kullanıcının siteyi daha önce ziyaret edip etmediğini belirlemek için mantık içeren bir kod enjekte etmesiyle başlar.
Kullanıcının ilk ziyareti olması durumunda kod, cihaz, IP adresi, kullanıcı aracısı ve konum hakkında bilgi toplar ve bunu bir HTTP GET isteği aracılığıyla sabit kodlanmış bir alana iletir.
Sunucudan gelen yanıt daha sonra web sayfasının içeriğini, kötü amaçlı yazılımı doğrudan bırakmak için sahte bir Google Chrome güncelleme açılır penceresiyle veya BadSpace’i indirip çalıştıracak bir JavaScript indiricisiyle kaplıyor.
Kampanyada kullanılan C2 sunucularının analizi, aynı mekanizma yoluyla yayılan, JavaScript tabanlı indirici bir kötü amaçlı yazılım olan SocGholish (aka FakeUpdates) adı verilen bilinen bir kötü amaçlı yazılımla bağlantıları ortaya çıkardı.
BadSpace, anti-sanal alan kontrolleri kullanmanın ve zamanlanmış görevleri kullanarak kalıcılığı ayarlamanın yanı sıra, sistem bilgilerini toplama ve ekran görüntüleri almasına, cmd.exe kullanarak talimatları yürütmesine, dosyaları okuyup yazmasına ve zamanlananları silmesine olanak tanıyan komutları işleme yeteneğine sahiptir. görev.
Açıklama, hem eSentire hem de Sucuri’nin, bilgi hırsızları ve uzaktan erişim truva atlarını dağıtmak için ele geçirilen sitelerdeki sahte tarayıcı güncelleme tuzaklarından yararlanan farklı kampanyalar konusunda uyardığı dönemde geldi.