Sites legitimamente comprometidos estão sendo utilizados como um meio para entregar um backdoor para Windows, conhecido como BadSpace, sob a aparência de falsas atualizações de navegador.
"O ator de ameaça utiliza uma cadeia de ataque de múltiplos estágios envolvendo um site infectado, um servidor de comando e controle (C2), em alguns casos uma falsa atualização de navegador, e um downloader em JScript para implantar um backdoor no sistema da vítima", disse a empresa alemã de cibersegurança G DATA em um relatório.
Os detalhes do malware foram primeiramente compartilhados pelos pesquisadores kevross33 e Gi7w0rm no mês passado.
Tudo começa com um site comprometido, incluindo aqueles construídos no WordPress, para injetar código que incorpora lógica para determinar se um usuário visitou o site anteriormente.
Caso seja a primeira visita do usuário, o código coleta informações sobre o dispositivo, endereço IP, user-agent e localização, e as transmite para um domínio hard-coded via uma requisição HTTP GET.
A resposta do servidor, subsequentemente, sobrepõe os conteúdos da página web com uma janela pop-up de uma falsa atualização do Google Chrome para, ou deixar cair diretamente o malware ou um downloader em JavaScript que, por sua vez, faz o download e executa o BadSpace.
Uma análise dos servidores C2 utilizados na campanha revelou conexões com um malware conhecido como SocGholish (também conhecido como FakeUpdates), um malware downloader baseado em JavaScript que é propagado via o mesmo mecanismo.
BadSpace, além de empregar verificações anti-sandbox e estabelecer persistência usando tarefas agendadas, é capaz de coletar informações do sistema e processar comandos que permitem que ele tire capturas de tela, execute instruções usando cmd.exe, leia e escreva arquivos, e delete a tarefa agendada.
A divulgação vem enquanto tanto a eSentire quanto a Sucuri advertiram sobre diferentes campanhas explorando iscas de falsas atualizações de navegador em sites comprometidos para distribuir ladrões de informações e trojans de acesso remoto.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...