Multi-License Discount Quote
Database delle minacce Backdoors Backdoor di BadSpace

Backdoor di BadSpace

Entro Mezo nel Backdoors
Traduci in:
Italiano

Siti web autentici ma compromessi vengono sfruttati per distribuire una backdoor di Windows chiamata BadSpace, mascherata da falsi aggiornamenti del browser. La strategia dell'aggressore prevede più fasi, a partire da un sito Web infetto, un server Command-and-Control (C2), a volte un aggiornamento ingannevole del browser e, infine, un downloader JScript per impiantare la backdoor nel sistema della vittima.

I criminali informatici sfruttano i siti compromessi per diffondere la backdoor BadSpace

Il processo inizia con un sito Web compromesso, che può includere quelli che utilizzano WordPress, in cui viene iniettato il codice danneggiato. Questo codice contiene la logica per accertare se un visitatore ha precedentemente effettuato l'accesso al sito. Alla prima visita, il codice raccoglie dati sul dispositivo, indirizzo IP, user agent e posizione, inviandoli a un dominio predefinito tramite una richiesta HTTP GET.

In risposta, il server sovrappone alla pagina Web una falsa richiesta di aggiornamento di Google Chrome. Questa richiesta serve come mezzo per distribuire il malware direttamente o tramite un downloader JavaScript, che successivamente scarica e avvia BadSpace.

La backdoor di BadSpace può eseguire un'ampia gamma di azioni invasive

BadSpace non solo esegue controlli anti-sandbox e stabilisce la persistenza attraverso attività pianificate, ma raccoglie anche dati di sistema. Può eseguire vari comandi, tra cui acquisire screenshot, eseguire comandi tramite cmd.exe, manipolare file ed eliminare attività pianificate.

L'indagine sui server Command-and-Control (C2) utilizzati nell'attacco ha rivelato collegamenti a un noto malware denominato SocGholish (noto anche come FakeUpdates). SocGholish è un malware downloader basato su JavaScript distribuito con un metodo simile.

I ricercatori di sicurezza hanno messo in guardia sia gli individui che le organizzazioni da un aumento delle campagne che utilizzano false tattiche di aggiornamento del browser su siti Web compromessi. Queste campagne mirano a distribuire ladri di informazioni e trojan di accesso remoto (RAT).

Le minacce backdoor potrebbero portare a gravi conseguenze per le vittime

Le minacce malware backdoor comportano rischi significativi per le vittime e possono portare a gravi conseguenze:

  • Furto di dati : le backdoor possono raccogliere silenziosamente informazioni sensibili, come password, dati finanziari, documenti personali e proprietà intellettuale. Questi dati raccolti possono essere utilizzati per vari scopi dannosi, tra cui il furto di identità, la frode finanziaria o lo spionaggio aziendale.
  • Accesso non autorizzato : una volta installate, le backdoor forniscono agli aggressori un accesso permanente al sistema della vittima. Gli aggressori possono controllare in remoto la macchina infetta, accedere ai file, installare malware aggiuntivo o utilizzare il sistema come trampolino di lancio per ulteriori attacchi ad altri sistemi all'interno della rete.
  • Compromissione del sistema : le backdoor spesso vengono fornite in bundle con altri malware o possono scaricare payload aggiuntivi sul sistema della vittima. Questi carichi utili possono includere ransomware, spyware, keylogger o minatori di criptovaluta, compromettendo ulteriormente l'integrità e le prestazioni del sistema.
  • Perdite finanziarie : le backdoor possono essere utilizzate per condurre attività fraudolente come trasferimenti bancari non autorizzati, furto di criptovaluta o acquisti fraudolenti utilizzando informazioni di pagamento sottratte, il che può portare a perdite finanziarie per individui e organizzazioni.
  • Manipolazione o distruzione dei dati : gli aggressori possono manipolare o eliminare dati critici archiviati nel sistema o nella rete della vittima, provocando interruzioni operative, perdita di record importanti o addirittura perdita permanente di dati.
  • Danno alla reputazione : le organizzazioni possono subire gravi danni alla reputazione se i dati dei clienti vengono violati a causa di malware backdoor. La perdita di fiducia da parte di partner, clienti e stakeholder può avere effetti duraturi sulle relazioni commerciali e sull’immagine del marchio.
  • Conseguenze legali e normative : in molte giurisdizioni, le violazioni dei dati dovute a infezioni da malware possono portare a ripercussioni legali e sanzioni normative. Le organizzazioni possono essere ritenute legalmente responsabili per non aver protetto adeguatamente le informazioni sensibili.
  • Interruzione operativa : le backdoor possono interrompere le normali operazioni causando arresti anomali del sistema, rallentamenti o rendendo i sistemi inutilizzabili. Ciò può portare a tempi di inattività significativi, perdita di produttività e potenziale perdita di entrate per le aziende.
  • Sicurezza di rete compromessa : le backdoor possono essere utilizzate dagli aggressori per spostarsi lateralmente all'interno di una rete, compromettendo altri sistemi interconnessi e diffondendo l'infezione nell'infrastruttura dell'organizzazione.
  • Perdita di privacy : gli individui potrebbero subire una perdita di privacy poiché le backdoor possono essere utilizzate per monitorare le loro attività, acquisire informazioni sensibili o persino spiare attraverso webcam e microfoni a loro insaputa.

    • In sintesi, le minacce malware backdoor possono avere conseguenze gravi e di vasta portata, colpendo non solo le risorse digitali della vittima ma anche la sua stabilità finanziaria, privacy e reputazione.

    Tendenza

    I più visti

    Caricamento in corso...