黑客利用合法网站传播 Windows 后门 BadSpace

德国网络安全公司 G DATA 在报告中提到，“威胁行动者利用牵涉受感染网站、命令和控制服务器，有时候是虚假的浏览器更新和 Jscript 下载器，发动多阶段攻击链，在受害者系统中部署后门。”上个月，研究员 kevross33和Gi7w0rm 分享了该恶意软件详情。

攻击者利用受陷网站包括构建在 WordPress 上的网站，注入代码，而该代码集成了判断用户是否曾访问该站点的逻辑。如是用户首次访问，则该代码收集设备信息、IP地址、user-agent 和位置信息，之后通过 HTTP GET请求将其传输至硬编码域名。

随后服务器的响应通过虚假的谷歌 Chrome 更新弹出窗口覆盖网页内容，直接释放该恶意软件或者 JavaScript 下载器下载并执行 BadSpace。

分析该C2服务器可知，BadSpace 与已知的恶意软件 SocGholish 有关，后者是一款基于 JavaScript 的下载器恶意软件，通过同样机制进行宣传。BadSpace 除了应用反沙箱检查外，还通过调度任务建立持久性，它能够收割系统信息并处理各种命令如截屏、使用 cmd.exe 执行指南、读写文件以及删除调度任务。

此前，eSentire 和 Sucuri 提醒称多个攻击活动利用受陷网站中的虚假浏览器更新诱饵传播信息窃取器和远程访问木马。