Контакты
Подписка 2024
Кибербезопасность
30 июля. Кибербезопасность предприятия: защита инфраструктуры и данных от современных угроз
Регистрируйтесь на онлайн-конференцию!

Шпионское ПО «BadSpace» прячется в обновлениях Chrome

18/06/24

Google Chrome-Jun-18-2024-09-32-26-1740-AM

Компьютерные системы по всему миру подвергаются атаке с использованием нового вредоносного ПО под названием BadSpace, распространяемого под видом фальшивых обновлений браузера Chrome.

По данным немецкой компании G DATA, специализирующейся на кибербезопасности, злоумышленники используют многоэтапную атаку, включая заражённый веб-сайт, сервер управления, поддельное обновление браузера и JScript-загрузчик для установки вредоносной программы на систему жертвы, пишет Securitylab.

Исследователи kevross33 и Gi7w0rm первыми сообщили о деталях этого вредоносного ПО в прошлом месяце. Атака начинается со скомпрометированного веб-сайта, в том числе созданного на платформе WordPress, который внедряет код для проверки, посещал ли пользователь сайт ранее. Если это первый визит, код собирает информацию о устройстве, IP-адресе, пользовательском агенте и местоположении, передавая её на жёстко закодированный домен через HTTP-запрос.

Ответ сервера накладывает на содержимое веб-страницы поддельное окно обновления Google Chrome, которое либо напрямую загружает вредоносное ПО, либо JavaScript-загрузчик, который затем скачивает и выполняет BadSpace.

Анализ серверов управления, используемых в этой кампании, выявил связи с известным вредоносным ПО SocGholish, также известным как FakeUpdates. Это JavaScript-загрузчик, распространяемый аналогичным образом.

BadSpace обладает функциями обхода песочниц и сохраняет постоянство в системе с помощью запланированных задач. Он может собирать системную информацию, выполнять команды для создания скриншотов, выполнения инструкций через командную строку, чтения и записи файлов, а также удаления запланированных задач.

Помимо G DATA, компании eSentire и Sucuri за последний месяц также предупреждали о различных кампаниях, использующих ложные обновления браузера на заражённых сайтах для распространения информации о краже данных и удалённых троянских программ.

Ситуация с BadSpace наглядно демонстрирует, насколько изощренными и многоступенчатыми могут быть современные кибератаки. Злоумышленники вкладывают немалые усилия в маскировку вредоносного кода под легитимные обновления и эксплуатируют доверие пользователей к известным брендам.

Темы:УгрозыGoogle ChromeкибершпионажобновленияG Data
NGFW
24 июля. Отечественные ИT-платформы и ПО для объектов КИИ: готовность предприятий к 01 января 2025
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...