Hackers distribuem backdoor no Windows
17 de Junho de 2024

Sites legitimamente comprometidos estão sendo utilizados como um meio para entregar um backdoor para Windows, conhecido como BadSpace, sob a aparência de falsas atualizações de navegador.

"O ator de ameaça utiliza uma cadeia de ataque de múltiplos estágios envolvendo um site infectado, um servidor de comando e controle (C2), em alguns casos uma falsa atualização de navegador, e um downloader em JScript para implantar um backdoor no sistema da vítima", disse a empresa alemã de cibersegurança G DATA em um relatório.

Os detalhes do malware foram primeiramente compartilhados pelos pesquisadores kevross33 e Gi7w0rm no mês passado.

Tudo começa com um site comprometido, incluindo aqueles construídos no WordPress, para injetar código que incorpora lógica para determinar se um usuário visitou o site anteriormente.

Caso seja a primeira visita do usuário, o código coleta informações sobre o dispositivo, endereço IP, user-agent e localização, e as transmite para um domínio hard-coded via uma requisição HTTP GET.

A resposta do servidor, subsequentemente, sobrepõe os conteúdos da página web com uma janela pop-up de uma falsa atualização do Google Chrome para, ou deixar cair diretamente o malware ou um downloader em JavaScript que, por sua vez, faz o download e executa o BadSpace.

Uma análise dos servidores C2 utilizados na campanha revelou conexões com um malware conhecido como SocGholish (também conhecido como FakeUpdates), um malware downloader baseado em JavaScript que é propagado via o mesmo mecanismo.

BadSpace, além de empregar verificações anti-sandbox e estabelecer persistência usando tarefas agendadas, é capaz de coletar informações do sistema e processar comandos que permitem que ele tire capturas de tela, execute instruções usando cmd.exe, leia e escreva arquivos, e delete a tarefa agendada.

A divulgação vem enquanto tanto a eSentire quanto a Sucuri advertiram sobre diferentes campanhas explorando iscas de falsas atualizações de navegador em sites comprometidos para distribuir ladrões de informações e trojans de acesso remoto.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...