Специалисты G Data рассказали о недавно обнаруженном бэкдоре, который распространяется с помощью многоступенчатой цепочки атак, включающей взломанные и зараженные сайты под управлением WordPress.
Бэкдор, получивший название BadSpace и обнаруженный в конце мая, распространяется с помощью механизма, напоминающего атаки SocGholish (малварь, которую ранее связывали с русскоязычной хак-группой Evil Corp и продавцом доступов Exotic Lily).
Так, цепочка атак BadSpace начинается с того, что жертва заходит на зараженный сайт, который использует cookie для отслеживания посетителей. Если это первый визит пользователя, код собирает информацию о его устройстве, IP-адресе, user-agent и местоположении и передает ее на жестко закодированный домен через HTTP GET-запрос.
После ответа сервера содержимое исходно открытой веб-страницы перекрывается, что приводит к развертыванию малвари. В некоторых случаях пользователю при этом показывается фальшивое уведомление об обновлении браузера, после чего загрузчик JavaScript срабатывает для развертывания бэкдора BadSpace.
Исследователи выявили как минимум три домена, которые служат в качестве управляющих серверов и доставляют JavaScript для фальшивых обновлений, основываясь на IP-адресе посетителя и версии его браузера.
JavaScript-файл, использующий различные техники обфускации, содержит функцию для создания загрузчика PowerShell, который тихо извлекает бэкдор BadSpace и выполняет его с помощью rundll32.exe.
BadSpace использует множество методов защиты, чтобы убедиться, что точно работает не в песочнице, например, проверяет количество папок в каталоге Temp, проверяет, сколько раз DisplayName встречается как подключ реестре, а также количество процессоров и состояние памяти.
Затем бэкдор закрепляется в системе, создавая запланированное задание и копирует себя, а также устанавливает связь с управляющим сервером, отправляя cookie, содержащие системную информацию и ключ RC4, используемый для шифрования трафика.
Малварь поддерживает семь различных команд: получение системной информации, создание скриншотов, выполнение команд в командной строке, чтение и запись файлов, а также удаление запланированной задачи, используемой для постоянного присутствия в системе.
