Multi-License Discount Quote
Base de dades d'amenaces Backdoors Porta posterior de BadSpace

Porta posterior de BadSpace

El Mezo el Backdoors
Traduir a:
Català

S'estan explotant llocs web genuïns però compromesos per distribuir una porta del darrere de Windows anomenada BadSpace, disfressada d'actualitzacions falses del navegador. L'estratègia de l'atacant inclou diverses etapes, començant amb un lloc web infectat, un servidor d'ordres i control (C2), de vegades una actualització del navegador enganyosa i, finalment, un descarregador de JScript per implantar la porta posterior al sistema de la víctima.

Els cibercriminals exploten llocs compromesos per difondre la porta posterior de BadSpace

El procés comença amb un lloc web compromès, que pot incloure aquells que utilitzen WordPress, on s'injecta el codi corrupte. Aquest codi conté una lògica per comprovar si un visitant ha accedit prèviament al lloc. En una primera visita, el codi recopila dades sobre el dispositiu, l'adreça IP, l'agent d'usuari i la ubicació, enviant-les a un domini predefinit mitjançant una sol·licitud HTTP GET.

En resposta, el servidor superposa la pàgina web amb un missatge d'actualització de Google Chrome fals. Aquesta indicació serveix com a mitjà per lliurar el programari maliciós directament o mitjançant un descarregador de JavaScript, que posteriorment baixa i inicia BadSpace.

La porta posterior BadSpace pot dur a terme una àmplia gamma d'accions intrusives

BadSpace no només realitza comprovacions anti-sandbox i estableix la persistència mitjançant tasques programades, sinó que també recopila dades del sistema. Pot executar diverses ordres, com ara fer captures de pantalla, executar ordres mitjançant cmd.exe, manipular fitxers i suprimir tasques programades.

La investigació dels servidors de comandament i control (C2) utilitzats en l'atac ha revelat enllaços a un programari maliciós conegut anomenat SocGholish (també conegut com a FakeUpdates). SocGholish és un programari maliciós de descàrrega basat en JavaScript que es distribueix mitjançant un mètode similar.

Els investigadors de seguretat han advertit tant a les persones com a les organitzacions sobre un augment de les campanyes que utilitzen tàctiques falses d'actualització del navegador en llocs web compromesos. Aquestes campanyes tenen com a objectiu distribuir robadors d'informació i troians d'accés remot RAT).

Les amenaces de la porta del darrere poden tenir conseqüències greus per a les víctimes

Les amenaces de programari maliciós de la porta posterior suposen riscos significatius per a les víctimes i poden tenir conseqüències greus:

  • Robatori de dades : les portes posteriors poden recopilar informació sensible en silenci, com ara contrasenyes, dades financeres, documents personals i propietat intel·lectual. Aquestes dades recopilades es poden utilitzar per a diversos propòsits nocius, com ara robatori d'identitat, frau financer o espionatge corporatiu.
  • Accés no autoritzat : un cop instal·lats, les portes del darrere proporcionen als atacants un accés persistent al sistema de la víctima. Els atacants poden controlar de forma remota la màquina infectada, accedir a fitxers, instal·lar programari maliciós addicional o utilitzar el sistema com a plataforma de llançament per a més atacs a altres sistemes de la xarxa.
  • Compromis del sistema : les portes posteriors sovint s'agrupen amb altres programes maliciosos o poden descarregar càrregues útils addicionals al sistema de la víctima. Aquestes càrregues útils poden incloure programari ransomware, programari espia, registradors de tecles o miners de criptomoneda, cosa que compromet encara més la integritat i el rendiment del sistema.
  • Pèrdues financeres : les portes del darrere es poden utilitzar per dur a terme activitats fraudulentes, com ara transferències bancàries no autoritzades, robatori de criptomoneda o compres fraudulentes amb informació de pagament malversada, que pot provocar pèrdues financeres per a persones i organitzacions.
  • Manipulació o destrucció de dades : els atacants poden manipular o eliminar dades crítiques emmagatzemades al sistema o xarxa de la víctima, provocant interrupcions operatives, pèrdua de registres importants o fins i tot pèrdua permanent de dades.
  • Danys a la reputació : les organitzacions poden patir greus danys a la reputació si les dades dels clients es violen a causa del programari maliciós de la porta posterior. La pèrdua de confiança dels socis, clients i grups d'interès pot tenir un impacte durador en les relacions comercials i la imatge de marca.
  • Conseqüències legals i normatives : en moltes jurisdiccions, les infraccions de dades a causa d'infeccions de programari maliciós poden comportar repercussions legals i multes reguladores. Les organitzacions poden ser legalment responsables de no protegir adequadament la informació sensible.
  • Interrupció operativa : les portes posteriors poden interrompre les operacions normals provocant bloquejos del sistema, alentiments o inutilització dels sistemes. Això pot provocar un temps d'inactivitat significatiu, una pèrdua de productivitat i una possible pèrdua d'ingressos per a les empreses.
  • Seguretat de la xarxa compromesa : els atacants poden utilitzar les portes del darrere per moure's lateralment dins d'una xarxa, comprometent altres sistemes interconnectats i propagant la infecció per la infraestructura de l'organització.
  • Pèrdua de privadesa : els individus poden patir una pèrdua de privadesa, ja que es poden utilitzar les portes del darrere per controlar les seves activitats, capturar informació sensible o fins i tot espiar a través de càmeres web i micròfons sense el seu coneixement.

    • En resum, les amenaces de programari maliciós de la porta posterior poden tenir conseqüències greus i de gran abast, afectant no només els actius digitals de la víctima, sinó també la seva estabilitat financera, privadesa i reputació.

    Tendència

    Més vist

    Carregant...