Компьютерные системы по всему миру подвергаются атаке с использованием нового вредоносного ПО под названием BadSpace, распространяемого под видом фальшивых обновлений браузера Chrome.
По данным немецкой компании G DATA, специализирующейся на кибербезопасности, злоумышленники используют многоэтапную атаку, включая заражённый веб-сайт, сервер управления, поддельное обновление браузера и JScript-загрузчик для установки вредоносной программы на систему жертвы.
Исследователи kevross33 и Gi7w0rm первыми сообщили о деталях этого вредоносного ПО в прошлом месяце. Атака начинается со скомпрометированного веб-сайта, в том числе созданного на платформе WordPress, который внедряет код для проверки, посещал ли пользователь сайт ранее. Если это первый визит, код собирает информацию о устройстве, IP-адресе, пользовательском агенте и местоположении, передавая её на жёстко закодированный домен через HTTP-запрос.
Ответ сервера накладывает на содержимое веб-страницы поддельное окно обновления Google Chrome, которое либо напрямую загружает вредоносное ПО, либо JavaScript-загрузчик, который затем скачивает и выполняет BadSpace.
Схема атаки BadSpace
Анализ серверов управления, используемых в этой кампании, выявил связи с известным вредоносным ПО SocGholish, также известным как FakeUpdates. Это JavaScript-загрузчик, распространяемый аналогичным образом.
BadSpace обладает функциями обхода песочниц и сохраняет постоянство в системе с помощью запланированных задач. Он может собирать системную информацию, выполнять команды для создания скриншотов, выполнения инструкций через cmd.exe, чтения и записи файлов, а также удаления запланированных задач.
Помимо G DATA, компании eSentireи Sucuriза последний месяц также предупреждали о различных кампаниях, использующих ложные обновления браузера на заражённых сайтах для распространения информации о краже данных и удалённых троянских программ.
Ситуация с BadSpace наглядно демонстрирует, насколько изощренными и многоступенчатыми могут быть современные кибератаки. Злоумышленники вкладывают немалые усилия в маскировку вредоносного кода под легитимные обновления и эксплуатируют доверие пользователей к известным брендам.
При наличии малейших сомнений в происхождении подобных “окон с обновлениями”, не стоит взаимодействовать с ними. Установленные в системе браузеры прекрасно обновляются и без участия пользователя.
Кроме того, не лишним будет своевременно применять легитимные обновления операционной системы, антивирусного ПО и прочего установленного софта, чтобы не допустить появления цифрового лаза для проникновения хакеров.