Сохраняйте бдительность: космический кибершпион “BadSpace” прячется в обновлениях Chrome

Компьютерные системы по всему миру подвергаются атаке с использованием нового вредоносного ПО под названием BadSpace, распространяемого под видом фальшивых обновлений браузера Chrome.

По данным немецкой компании G DATA, специализирующейся на кибербезопасности, злоумышленники используют многоэтапную атаку, включая заражённый веб-сайт, сервер управления, поддельное обновление браузера и JScript-загрузчик для установки вредоносной программы на систему жертвы.

Исследователи kevross33 и Gi7w0rm первыми сообщили о деталях этого вредоносного ПО в прошлом месяце. Атака начинается со скомпрометированного веб-сайта, в том числе созданного на платформе WordPress, который внедряет код для проверки, посещал ли пользователь сайт ранее. Если это первый визит, код собирает информацию о устройстве, IP-адресе, пользовательском агенте и местоположении, передавая её на жёстко закодированный домен через HTTP-запрос.

Ответ сервера накладывает на содержимое веб-страницы поддельное окно обновления Google Chrome, которое либо напрямую загружает вредоносное ПО, либо JavaScript-загрузчик, который затем скачивает и выполняет BadSpace.

Схема атаки BadSpace

Анализ серверов управления, используемых в этой кампании, выявил связи с известным вредоносным ПО SocGholish, также известным как FakeUpdates. Это JavaScript-загрузчик, распространяемый аналогичным образом.

BadSpace обладает функциями обхода песочниц и сохраняет постоянство в системе с помощью запланированных задач. Он может собирать системную информацию, выполнять команды для создания скриншотов, выполнения инструкций через cmd.exe, чтения и записи файлов, а также удаления запланированных задач.

Помимо G DATA, компании eSentireи Sucuriза последний месяц также предупреждали о различных кампаниях, использующих ложные обновления браузера на заражённых сайтах для распространения информации о краже данных и удалённых троянских программ.

Ситуация с BadSpace наглядно демонстрирует, насколько изощренными и многоступенчатыми могут быть современные кибератаки. Злоумышленники вкладывают немалые усилия в маскировку вредоносного кода под легитимные обновления и эксплуатируют доверие пользователей к известным брендам.

При наличии малейших сомнений в происхождении подобных “окон с обновлениями”, не стоит взаимодействовать с ними. Установленные в системе браузеры прекрасно обновляются и без участия пользователя.

Кроме того, не лишним будет своевременно применять легитимные обновления операционной системы, антивирусного ПО и прочего установленного софта, чтобы не допустить появления цифрового лаза для проникновения хакеров.

Public Release.