Новости Сохраняйте бдительность: космический кибершпион «BadSpace» прячется в обновлениях Chrome

NewsMaker

I'm just a script
Премиум
14,593
22
8 Ноя 2022
Вредоносная кампания явно вдохновлена недавно обнаруженными вредоносами семейства FakeUpdates.


l97jreavfmm6b0na57e6pd9854mxqp3i.jpg


Компьютерные системы по всему миру подвергаются атаке с использованием нового вредоносного ПО под названием BadSpace, распространяемого под видом фальшивых обновлений браузера Chrome .

Для просмотра ссылки Войди или Зарегистрируйся немецкой компании G DATA, специализирующейся на кибербезопасности, злоумышленники используют многоэтапную атаку, включая заражённый веб-сайт, сервер управления, поддельное обновление браузера и JScript-загрузчик для установки вредоносной программы на систему жертвы.

Исследователи kevross33 и Gi7w0rm первыми сообщили о деталях этого вредоносного ПО в прошлом месяце. Атака начинается со скомпрометированного веб-сайта, в том числе созданного на платформе WordPress , который внедряет код для проверки, посещал ли пользователь сайт ранее. Если это первый визит, код собирает информацию о устройстве, IP-адресе, пользовательском агенте и местоположении, передавая её на жёстко закодированный домен через HTTP-запрос.

Ответ сервера накладывает на содержимое веб-страницы поддельное окно обновления Google Chrome, которое либо напрямую загружает вредоносное ПО, либо JavaScript -загрузчик, который затем скачивает и выполняет BadSpace.


uz9sexrm2gw9e2ghrxwg6u1t8y3rvmtc.png


Схема атаки BadSpace

Анализ серверов управления, используемых в этой кампании, выявил связи с известным вредоносным ПО SocGholish , также известным как FakeUpdates. Это JavaScript-загрузчик, распространяемый аналогичным образом.

BadSpace обладает функциями обхода песочниц и сохраняет постоянство в системе с помощью запланированных задач. Он может собирать системную информацию, выполнять команды для создания скриншотов, выполнения инструкций через командную строку, чтения и записи файлов, а также удаления запланированных задач.

Помимо G DATA, компании Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся за последний месяц также предупреждали о различных кампаниях, использующих ложные обновления браузера на заражённых сайтах для распространения информации о краже данных и удалённых троянских программ.

Ситуация с BadSpace наглядно демонстрирует, насколько изощренными и многоступенчатыми могут быть современные кибератаки. Злоумышленники вкладывают немалые усилия в маскировку вредоносного кода под легитимные обновления и эксплуатируют доверие пользователей к известным брендам.

При наличии малейших сомнений в происхождении подобных «окон с обновлениями», не стоит взаимодействовать с ними. Установленные в системе браузеры прекрасно обновляются и без участия пользователя.

Кроме того, не лишним будет своевременно применять легитимные обновления операционной системы, антивирусного ПО и прочего установленного софта, чтобы не допустить появления цифрового лаза для проникновения хакеров.
 
Источник новости
www.securitylab.ru

Похожие темы