合法但受到损害的网站被用作以虚假浏览器更新为幌子提供称为 BadSpace 的 Windows 后门的渠道。
德国网络安全公司G DATA在一份报告中表示:“威胁行为者采用多阶段攻击链,包括受感染的网站,命令和控制(C2)服务器,在某些情况下是虚假的浏览器更新和JScript下载器,以将后门部署到受害者的系统中。
上个月,研究人员 kevross33 和 Gi7w0rm 首次分享了该恶意软件的详细信息。
这一切都始于一个受感染的网站,包括那些建立在WordPress上的网站,注入包含逻辑的代码,以确定用户以前是否访问过该网站。
如果是用户第一次访问,则代码会收集有关设备、IP 地址、用户代理和位置的信息,并通过 HTTP GET 请求将其传输到硬编码域。
随后,来自服务器的响应会用虚假的 Google Chrome 更新弹出窗口覆盖网页内容,以直接删除恶意软件或 JavaScript 下载器,从而下载并执行 BadSpace。
对活动中使用的 C2 服务器的分析发现了与一种名为 SocGholish(又名 FakeUpdates)的已知恶意软件的联系,这是一种基于 JavaScript 的下载器恶意软件,通过相同的机制传播。
BadSpace 除了使用反沙盒检查和使用计划任务设置持久性外,还能够收集系统信息和处理命令,使其能够截屏、使用cmd.exe执行指令、读取和写入文件以及删除计划任务。
在披露这一消息之际,eSentire 和 Sucuri 都警告了不同的活动,这些活动利用受感染站点中的虚假浏览器更新诱饵来分发信息窃取程序和远程访问木马。
|
感谢您花时间阅读我们提供的这篇文章。我们非常重视您的时间和精力,并深知信息对您的重要性。 我们希望了解您对这篇文章的看法和感受。我们真诚地想知道您是否认为这篇文章为您带来了有价值的资讯和启示,是否有助于您的个人或职业发展。 如果您认为这篇文章对您非常有价值,并且希望获得更多的相关资讯和服务,我们愿意为您提供进一步的定制化服务。请通过填写我们提供的在线表单,与我们联系并提供您的邮箱地址或其他联系方式。我们将定期向您发送相关资讯和更新,以帮助您更好地了解我们的服务和文章内容。  |
END
原文始发于微信公众号(信息安全大事件):合法网站被利用提供 BadSpace Windows 后门
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论