Новости Взломанные сайты распространяют бэкдор BadSpace

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
28.781
Репутация
11.595
Реакции
61.695
RUB
50
Специалисты G Data о недавно обнаруженном бэкдоре, который распространяется с помощью многоступенчатой цепочки атак, включающей взломанные и зараженные сайты под управлением WordPress.


Бэкдор, получивший название BadSpace и обнаруженный в конце мая, распространяется с помощью механизма, напоминающего атаки (малварь, которую ранее связывали с русскоязычной хак-группой Evil Corp и продавцом доступов ).



Так, цепочка атак BadSpace начинается с того, что жертва заходит на зараженный сайт, который использует cookie для отслеживания посетителей. Если это первый визит пользователя, код собирает информацию о его устройстве, IP-адресе, user-agent и местоположении и передает ее на жестко закодированный домен через HTTP GET-запрос.

После ответа сервера содержимое исходно открытой веб-страницы перекрывается, что приводит к развертыванию малвари. В некоторых случаях пользователю при этом показывается фальшивое уведомление об обновлении браузера, после чего загрузчик JavaScript срабатывает для развертывания бэкдора BadSpace.

Исследователи выявили как минимум три домена, которые служат в качестве управляющих серверов и доставляют JavaScript для фальшивых обновлений, основываясь на IP-адресе посетителя и версии его браузера.

JavaScript-файл, использующий различные техники обфускации, содержит функцию для создания загрузчика PowerShell, который тихо извлекает бэкдор BadSpace и выполняет его с помощью rundll32.exe.

BadSpace использует множество методов защиты, чтобы убедиться, что точно работает не в песочнице, например, проверяет количество папок в каталоге Temp, проверяет, сколько раз DisplayName встречается как подключ реестре, а также количество процессоров и состояние памяти.

Затем бэкдор закрепляется в системе, создавая запланированное задание и копирует себя, а также устанавливает связь с управляющим сервером, отправляя cookie, содержащие системную информацию и ключ RC4, используемый для шифрования трафика.

Малварь поддерживает семь различных команд: получение системной информации, создание скриншотов, выполнение команд в командной строке, чтение и запись файлов, а также удаление запланированной задачи, используемой для постоянного присутствия в системе.


 
Сверху Снизу