Un informe de G DATA reveló que un actor de amenazas está utilizando sitios web comprometidos para distribuir un backdoor de Windows llamado BadSpace, disfrazado de actualizaciones falsas de navegadores.
Los investigadores kevross33 y Gi7w0rm compartieron detalles sobre el malware el mes pasado. El atacante emplea una cadena de ataque de múltiples etapas que involucra un sitio web infectado, un servidor de control y comando (C2), en algunos casos una actualización falsa del navegador y un descargador de JScript para desplegar un backdoor en el sistema de la víctima.
El proceso comienza con un sitio web comprometido, inclusive los construidos en WordPress, que inyecta código para determinar si es la primera visita del usuario. Luego, se recopila información sobre el dispositivo, la dirección IP, el agente de usuario, y la ubicación, y se transmite a un dominio con código duro a través de una solicitud GET HTTP.
Posteriormente, el servidor responde superponiendo el contenido de la página web con una falsa ventana emergente de actualización de Google Chrome, lo que permite depositar directamente el malware o un descargador de JavaScript que, a su vez, descarga y ejecuta BadSpace.
Un análisis de los servidores C2 utilizados en la campaña reveló conexiones con SocGholish, un malware descargador basado en JavaScript que se propaga de manera similar.
Además de utilizar comprobaciones anti-sandbox y configurar la persistencia con tareas programadas, BadSpace puede recolectar información del sistema, tomar capturas de pantalla, ejecutar instrucciones utilizando cmd.exe, leer y escribir archivos, y eliminar tareas programadas.
Este descubrimiento se suma a las advertencias de eSentire y Sucuri sobre diferentes campañas que usan señuelos de actualizaciones falsas de navegadores en sitios comprometidos para distribuir robadores de información y troyanos de acceso remoto.
Vía The Hacker News
