黑客利用合法网站传播 Windows 后门 BadSpace
2024-6-17 17:30:1 Author: mp.weixin.qq.com(查看原文) 阅读量:7 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

合法但受陷的网站伪装成虚假的浏览器更新,传播Windows 后门 BadSpace。

德国网络安全公司 G DATA 在报告中提到,“威胁行动者利用牵涉受感染网站、命令和控制服务器,有时候是虚假的浏览器更新和 Jscript 下载器,发动多阶段攻击链,在受害者系统中部署后门。”上个月,研究员 kevross33和Gi7w0rm 分享了该恶意软件详情。

攻击者利用受陷网站包括构建在 WordPress 上的网站,注入代码,而该代码集成了判断用户是否曾访问该站点的逻辑。如是用户首次访问,则该代码收集设备信息、IP地址、user-agent 和位置信息,之后通过 HTTP GET请求将其传输至硬编码域名。

随后服务器的响应通过虚假的谷歌 Chrome 更新弹出窗口覆盖网页内容,直接释放该恶意软件或者 JavaScript 下载器下载并执行 BadSpace。

分析该C2服务器可知,BadSpace 与已知的恶意软件 SocGholish 有关,后者是一款基于 JavaScript 的下载器恶意软件,通过同样机制进行宣传。BadSpace 除了应用反沙箱检查外,还通过调度任务建立持久性,它能够收割系统信息并处理各种命令如截屏、使用 cmd.exe 执行指南、读写文件以及删除调度任务。

此前,eSentire 和 Sucuri 提醒称多个攻击活动利用受陷网站中的虚假浏览器更新诱饵传播信息窃取器和远程访问木马。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

研究员展示恶意软件如何窃取 Windows Recall 数据

NPM恶意包利用招聘诱骗开发人员安装恶意软件

GitHub 评论被滥用于推送恶意软件

供应链攻击滥用 GitHub 特性传播恶意软件

原文链接

https://thehackernews.com/2024/06/hackers-exploit-legitimate-websites-to.html

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247519766&idx=2&sn=312a9644bbda99160892d8cc2c0df787&chksm=ea94bf7cdde3366a089261162730937358771eac25162735ecb3a9d8141b2392b1138877d372&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh