BadSpace Backdoor
Ang mga tunay ngunit nakompromisong website ay pinagsasamantalahan upang ipamahagi ang isang backdoor ng Windows na tinatawag na BadSpace, na itinago bilang pekeng mga update sa browser. Ang diskarte ng umaatake ay nagsasangkot ng maraming yugto, simula sa isang nahawaang website, isang Command-and-Control (C2) server, minsan isang mapanlinlang na pag-update ng browser, at panghuli, isang JScript downloader upang itanim ang backdoor sa system ng biktima.
Talaan ng mga Nilalaman
Sinasamantala ng mga Cybercriminal ang Mga Nakompromisong Site para Ikalat ang BadSpace Backdoor
Nagsisimula ang proseso sa isang nakompromisong website, na maaaring kabilang ang mga gumagamit ng WordPress, kung saan ini-inject ang sirang code. Ang code na ito ay naglalaman ng lohika upang matiyak kung ang isang bisita ay dating na-access ang site. Sa unang pagbisita, kumukuha ang code ng data tungkol sa device, IP address, user agent, at lokasyon, na ipinapadala ito sa isang paunang natukoy na domain sa pamamagitan ng kahilingan sa HTTP GET.
Bilang tugon, ini-overlay ng server ang Web page gamit ang isang pekeng prompt sa pag-update ng Google Chrome. Ang prompt na ito ay nagsisilbing isang paraan upang maihatid ang malware nang direkta o sa pamamagitan ng isang JavaScript downloader, na pagkatapos ay nagda-download at nagpasimula ng BadSpace.
Ang BadSpace Backdoor ay makakapagsagawa ng malawak na hanay ng mga mapanghimasok na pagkilos
Ang BadSpace ay hindi lamang nagsasagawa ng mga anti-sandbox na pagsusuri at nagtatatag ng pagtitiyaga sa pamamagitan ng mga naka-iskedyul na gawain ngunit nangangalap din ng data ng system. Maaari itong magsagawa ng iba't ibang mga command, kabilang ang pagkuha ng mga screenshot, pagpapatakbo ng mga command sa pamamagitan ng cmd.exe, pagmamanipula ng mga file at pagtanggal ng mga naka-iskedyul na gawain.
Ang pagsisiyasat sa mga server ng Command-and-Control (C2) na ginamit sa pag-atake ay nagsiwalat ng mga link sa isang kilalang malware na pinangalanang SocGholish (kilala rin bilang FakeUpdates). Ang SocGholish ay isang JavaScript-based downloader malware na ipinamahagi sa pamamagitan ng katulad na paraan.
Ang mga mananaliksik sa seguridad ay nagbabala sa parehong mga indibidwal at organisasyon tungkol sa pagtaas ng mga kampanyang gumagamit ng mga pekeng taktika sa pag-update ng browser sa mga nakompromisong website. Nilalayon ng mga kampanyang ito na ipamahagi ang mga nagnanakaw ng impormasyon at Remote Access Trojans RATs).
Ang mga Banta sa Backdoor ay Maaaring Magdulot ng Matinding Bunga para sa mga Biktima
Ang mga banta sa backdoor na malware ay nagdudulot ng malalaking panganib sa mga biktima at maaaring humantong sa matitinding kahihinatnan:
- Pagnanakaw ng Data : Ang mga backdoor ay maaaring tahimik na mangalap ng sensitibong impormasyon, gaya ng mga password, data sa pananalapi, mga personal na dokumento at intelektwal na pag-aari. Maaaring gamitin ang na-harvest na data na ito para sa iba't ibang mapaminsalang layunin, kabilang ang pagnanakaw ng pagkakakilanlan, pandaraya sa pananalapi, o espiya ng kumpanya.
Sa buod, ang mga banta sa backdoor na malware ay maaaring magkaroon ng malala at malalayong kahihinatnan, na nakakaapekto hindi lamang sa mga digital asset ng biktima kundi pati na rin sa kanilang financial stability, privacy, at reputasyon.
