黑客利用合法网站传播 BadSpace Windows 后门

关键词

“黑客采用多阶段攻击链，涉及受感染的网站、命令与控制 (C2) 服务器、在某些情况下是虚假的浏览器更新以及 JScript 下载器，以将后门部署到受害者的系统中，”德国网络安全公司 G DATA 在一份报告中表示。

近期，黑客利用合法但被入侵的网站，传播名为 BadSpace 的 Windows 后门的渠道，其伪装是虚假的浏览器更新。

研究人员 kevross33 和 Gi7w0rm 上个月首次分享了该恶意软件的详细信息。

一切都始于一个被入侵的网站，包括那些基于 WordPress 构建的网站，以注入包含逻辑的代码来确定用户是否曾经访问过该网站。

如果这是用户的第一次访问，代码将收集有关设备、IP 地址、用户代理和位置的信息，并通过 HTTP GET 请求将其传输到硬编码域。

随后，服务器的响应会将网页内容与虚假的 Google Chrome 更新弹出窗口叠加，以直接投放恶意软件或 JavaScript下载器，进而下载并执行 BadSpace。

对活动中使用的 C2 服务器的分析发现了与已知恶意软件 SocGholish（又名 FakeUpdates）的联系，这是一种基于 JavaScript 的下载器恶意软件，通过相同的机制进行传播。

除了使用反沙盒检查和使用计划任务设置持久性之外，BadSpace 还能够收集系统信息和处理命令，使其能够截取屏幕截图、使用cmd.exe执行指令、读取和写入文件以及删除计划任务。

披露此消息之际，eSentire 和 Sucuri 都已警告不同的活动利用受感染网站中的虚假浏览器更新诱饵来分发信息窃取程序和远程访问木马。