แบ็คดอร์ BadSpace

เว็บไซต์ของแท้แต่ถูกบุกรุกกำลังถูกใช้เพื่อเผยแพร่แบ็คดอร์ของ Windows ที่เรียกว่า BadSpace ซึ่งปลอมตัวเป็นการอัปเดตเบราว์เซอร์ปลอม กลยุทธ์ของผู้โจมตีเกี่ยวข้องกับหลายขั้นตอน เริ่มตั้งแต่เว็บไซต์ที่ติดไวรัส เซิร์ฟเวอร์ Command-and-Control (C2) บางครั้งการอัปเดตเบราว์เซอร์ที่หลอกลวง และสุดท้ายคือตัวดาวน์โหลด JScript เพื่อฝังแบ็คดอร์ลงบนระบบของเหยื่อ

อาชญากรไซเบอร์ใช้ประโยชน์จากไซต์ที่ถูกบุกรุกเพื่อแพร่กระจายแบ็คดอร์ BadSpace

กระบวนการเริ่มต้นด้วยเว็บไซต์ที่ถูกบุกรุก ซึ่งอาจรวมถึงเว็บไซต์ที่ใช้ WordPress ซึ่งมีการแทรกโค้ดที่เสียหายเข้าไป รหัสนี้มีตรรกะในการตรวจสอบว่าผู้เยี่ยมชมเคยเข้าถึงเว็บไซต์มาก่อนหรือไม่ เมื่อเข้าชมครั้งแรก โค้ดจะรวบรวมข้อมูลเกี่ยวกับอุปกรณ์ ที่อยู่ IP ตัวแทนผู้ใช้ และตำแหน่ง และส่งไปยังโดเมนที่กำหนดไว้ล่วงหน้าผ่านคำขอ HTTP GET

เพื่อเป็นการตอบสนอง เซิร์ฟเวอร์จึงซ้อนทับเว็บเพจด้วยการแจ้งเตือนการอัปเดต Google Chrome ปลอม ข้อความแจ้งนี้ทำหน้าที่เป็นวิธีการส่งมัลแวร์โดยตรงหรือผ่านทางโปรแกรมดาวน์โหลด JavaScript ซึ่งจะดาวน์โหลดและเริ่มต้น BadSpace ในเวลาต่อมา

แบ็คดอร์ BadSpace สามารถดำเนินการล่วงล้ำได้หลากหลาย

BadSpace ไม่เพียงแต่ทำการตรวจสอบแอนตี้แซนด์บ็อกซ์และสร้างความคงอยู่ผ่านงานที่กำหนดเวลาไว้ แต่ยังรวบรวมข้อมูลระบบอีกด้วย สามารถรันคำสั่งต่างๆ รวมถึงการจับภาพหน้าจอ การรันคำสั่งผ่าน cmd.exe การจัดการไฟล์ และการลบงานที่กำหนดเวลาไว้

การตรวจสอบเซิร์ฟเวอร์ Command-and-Control (C2) ที่ใช้ในการโจมตีได้เปิดเผยลิงก์ไปยังมัลแวร์ที่รู้จักชื่อ SocGholish (หรือที่รู้จักในชื่อ FakeUpdates) SocGholish เป็นมัลแวร์ดาวน์โหลดที่ใช้ JavaScript ซึ่งเผยแพร่ด้วยวิธีที่คล้ายกัน

นักวิจัยด้านความปลอดภัยได้เตือนทั้งบุคคลและองค์กรเกี่ยวกับการเพิ่มขึ้นของแคมเปญที่ใช้กลยุทธ์การอัปเดตเบราว์เซอร์ปลอมบนเว็บไซต์ที่ถูกบุกรุก แคมเปญเหล่านี้มีเป้าหมายเพื่อกระจายผู้ขโมยข้อมูลและ RAT โทรจันการเข้าถึงระยะไกล)

ภัยคุกคามลับๆ อาจนำไปสู่ผลที่ตามมาร้ายแรงสำหรับเหยื่อ

ภัยคุกคามมัลแวร์แบ็คดอร์ก่อให้เกิดความเสี่ยงที่สำคัญต่อเหยื่อและอาจนำไปสู่ผลกระทบร้ายแรง:

• การโจรกรรมข้อมูล : แบ็คดอร์สามารถรวบรวมข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่าน ข้อมูลทางการเงิน เอกสารส่วนบุคคล และทรัพย์สินทางปัญญา ข้อมูลที่รวบรวมมานี้สามารถนำไปใช้เพื่อวัตถุประสงค์ที่เป็นอันตรายต่างๆ รวมถึงการขโมยข้อมูลประจำตัว การฉ้อโกงทางการเงิน หรือการจารกรรมขององค์กร

โดยสรุป ภัยคุกคามมัลแวร์แบ็คดอร์สามารถส่งผลกระทบที่รุนแรงและกว้างขวาง ไม่เพียงแต่ส่งผลกระทบต่อสินทรัพย์ดิจิทัลของเหยื่อเท่านั้น แต่ยังรวมถึงความมั่นคงทางการเงิน ความเป็นส่วนตัว และชื่อเสียงด้วย