详细内容或原文请订阅后点击阅览
保持警惕:太空网络间谍“BadSpace”隐藏在 Chrome 更新中
资深粉丝在 FakeUpdates 上发布了一篇精彩文章。
来源:安全实验室新闻频道保持警惕:太空网络间谍“BadSpace”隐藏在 Chrome 更新中
该恶意活动显然是受到最近发现的 FakeUpdates 恶意软件系列的启发。
世界各地的计算机系统正受到名为 BadSpace 的新型恶意软件的攻击,这些恶意软件以虚假的 Chrome 浏览器更新为幌子进行传播。
Chrome据德国网络安全公司 G DATA 称,攻击者使用多阶段攻击,包括受感染的网站、命令和控制服务器、虚假浏览器更新和 JScript 加载程序,在受害者的系统上安装恶意软件。
基于数据研究人员 kevross33 和 Gi7w0rm 上个月最先报告了该恶意软件的详细信息。攻击从一个受感染的网站开始,其中包括一个建立在 WordPress 平台上的网站,该网站会注入代码来检查用户之前是否访问过该网站。如果这是第一次访问,代码会收集有关设备、IP 地址、用户代理和位置的信息,并通过 HTTP 请求将其传递到硬编码域。
WordPress服务器响应会用虚假的 Google Chrome 更新窗口覆盖网页内容,该窗口要么直接下载恶意软件,要么使用 JavaScript 加载程序,然后下载并执行 BadSpace。
JavaScriptBadSpace 攻击模式
攻击模式对此次活动中使用的命令和控制服务器的分析揭示了已知 SocGholish 恶意软件(也称为 FakeUpdates)的链接。这是一个以类似方式分发的 JavaScript 加载器。
SocGholishBadSpace具有沙箱绕过功能,并通过计划任务保持在系统上的持久性。它可以收集系统信息、执行命令截图、通过命令行执行指令、读写文件、删除定时任务。
eSentire 苏库里