Javascript

💻 Космический кибершпион «BadSpace» прячется в обновлениях Chrome

Вредоносная кампания явно вдохновлена недавно обнаруженными вредоносами семейства FakeUpdates.

Компьютерные системы по всему миру подвергаются атаке с использованием нового вредоносного ПО под названием BadSpace, распространяемого под видом фальшивых обновлений браузера Chrome.

По данным немецкой компании G DATA, специализирующейся на кибербезопасности, злоумышленники используют многоэтапную атаку, включая заражённый веб-сайт, сервер управления, поддельное обновление браузера и JScript-загрузчик для установки вредоносной программы на систему жертвы.

Исследователи kevross33 и Gi7w0rm первыми сообщили о деталях этого вредоносного ПО в прошлом месяце. Атака начинается со скомпрометированного веб-сайта, в том числе созданного на платформе WordPress, который внедряет код для проверки, посещал ли пользователь сайт ранее. Если это первый визит, код собирает информацию о устройстве, IP-адресе, пользовательском агенте и местоположении, передавая её на жёстко закодированный домен через HTTP-запрос.

Ответ сервера накладывает на содержимое веб-страницы поддельное окно обновления Google Chrome, которое либо напрямую загружает вредоносное ПО, либо JavaScript-загрузчик, который затем скачивает и выполняет BadSpace.

Анализ серверов управления, используемых в этой кампании, выявил связи с известным вредоносным ПО SocGholish, также известным как FakeUpdates. Это JavaScript-загрузчик, распространяемый аналогичным образом.

🗄 Подробнее

@javascriptv

Please open Telegram to view this post

VIEW IN TELEGRAM

❤7👍4🔥4👎1😁1

www.tgoop.com/javascriptv/1443

4.43K viewsJul 12, 2024 at 10:03

💻 Космический кибершпион «BadSpace» прячется в обновлениях Chrome

Вредоносная кампания явно вдохновлена недавно обнаруженными вредоносами семейства FakeUpdates.

Компьютерные системы по всему миру подвергаются атаке с использованием нового вредоносного ПО под названием BadSpace, распространяемого под видом фальшивых обновлений браузера Chrome.

По данным немецкой компании G DATA, специализирующейся на кибербезопасности, злоумышленники используют многоэтапную атаку, включая заражённый веб-сайт, сервер управления, поддельное обновление браузера и JScript-загрузчик для установки вредоносной программы на систему жертвы.

Исследователи kevross33 и Gi7w0rm первыми сообщили о деталях этого вредоносного ПО в прошлом месяце. Атака начинается со скомпрометированного веб-сайта, в том числе созданного на платформе WordPress, который внедряет код для проверки, посещал ли пользователь сайт ранее. Если это первый визит, код собирает информацию о устройстве, IP-адресе, пользовательском агенте и местоположении, передавая её на жёстко закодированный домен через HTTP-запрос.

Ответ сервера накладывает на содержимое веб-страницы поддельное окно обновления Google Chrome, которое либо напрямую загружает вредоносное ПО, либо JavaScript-загрузчик, который затем скачивает и выполняет BadSpace.

Анализ серверов управления, используемых в этой кампании, выявил связи с известным вредоносным ПО SocGholish, также известным как FakeUpdates. Это JavaScript-загрузчик, распространяемый аналогичным образом.

🗄 Подробнее

@javascriptv