Alcuni siti web legittimi ma compromessi vengono utilizzati come tramite per distribuire una backdoor per Windows chiamata BadSpace, sotto la falsa apparenza di aggiornamenti del browser.
Il malware BadSpace secondo gli esperti di sicurezza informatica
“Il responsabile della minaccia utilizza una catena di attacco a più stadi che coinvolge un sito web infetto, un server di comando e controllo (C2), in alcuni casi un falso aggiornamento del browser, e un downloader JScript per distribuire una backdoor nel sistema della vittima“, ha dichiarato in un rapporto l’azienda di cybersecurity tedesca G DATA.
I dettagli del malware sono stati condivisi per la prima volta il mese scorso dai ricercatori kevross33 e Gi7w0rm.
Tutto inizia con un sito web compromesso, inclusi quelli costruiti su WordPress, che inietta codice malevolo per determinare se un utente ha visitato il sito in precedenza.
Se è la prima visita dell’utente, il codice raccoglie informazioni sul dispositivo, indirizzo IP, user-agent e posizione, e le trasmette a un dominio codificato tramite una richiesta HTTP GET.
L’apparenza: gli aggiornamenti fasulli del browser
La risposta del server sovrappone successivamente i contenuti della pagina web con una falsa finestra pop-up di aggiornamento di Google Chrome per scaricare direttamente il malware o un downloader JavaScript che, a sua volta, scarica ed esegue BadSpace.
Un’analisi dei server C2 utilizzati nella campagna ha rivelato dei collegamenti con un malware già noto chiamato SocGholish (chiamato anche FakeUpdates), un malware downloader basato su JavaScript che viene propagato tramite lo stesso meccanismo.
BadSpace, oltre a impiegare controlli anti-sandbox e a impostare la persistenza utilizzando attività pianificate, è in grado di raccogliere informazioni di sistema e di elaborare comandi che gli permettono di catturare schermate, eseguire istruzioni usando cmd.exe, leggere e scrivere file, e cancellare l’attività pianificata.
La divulgazione arriva mentre sia eSentire che Sucuri hanno avvertito di diverse campagne che sfruttano falsi aggiornamenti del browser in siti compromessi per distribuire informazioni rubate e trojan di accesso remoto.
Come comportarsi se dovessi incappare in BadSpace o in minacce analoghe
Di seguito una piccola serie di consigli sul come mitigare BadSpace o minacce analoghe:
- Non cliccare su pop-up sospetti: Se si vede una finestra di aggiornamento del browser non richiesta, evitare di cliccarci sopra; questa cosa dovrebbe essere ormai nota da molti, ma a quanto pare non è così.
- Aggiornamenti ufficiali: Effettuare sempre gli aggiornamenti del browser e del sistema operativo direttamente dalle impostazioni ufficiali o dai siti ufficiali del produttore.
- Utilizzare software antivirus: Assicurarsi che il software antivirus sia aggiornato e attivo per rilevare e bloccare eventuali minacce.
- Controllare il sistema: Se si sospetta un’infezione, eseguire una scansione completa del sistema utilizzando un software di sicurezza affidabile.
- Rimozione del malware: In caso di infezione confermata, seguire le istruzioni del software antivirus per rimuovere il malware. Potrebbe essere necessario utilizzare strumenti specializzati per la rimozione di malware persistenti.
- Aggiornare le credenziali: Cambiare le password di tutti gli account accessibili dal dispositivo infetto per prevenire ulteriori compromissioni.
- Consultare un esperto: Se non si riesce a risolvere l’infezione autonomamente, consultare un esperto di sicurezza informatica per assistenza professionale.
Alcuni casi analoghi
Negli ultimi anni, ci sono stati diversi casi simili di malware distribuiti tramite falsi aggiornamenti del browser e siti web compromessi; come accennato in precedenza un esempio è il malware SocGholish, che utilizza tecniche quasi identiche a BadSpace per infettare i dispositivi degli utenti.
Un altro caso famoso è quello del malware Adrozek, che si diffondeva tramite falsi aggiornamenti del browser per compromettere i sistemi Windows e inserire annunci pubblicitari indesiderati nei risultati di ricerca.
Inoltre, il malware Emotet, noto per essere uno dei trojan più diffusi, ha spesso utilizzato siti web compromessi per diffondersi e infettare le reti aziendali con tecniche di phishing sofisticate.
Questi esempi sottolineano l’importanza di rimanere vigili e di adottare misure di sicurezza adeguate per proteggere i propri sistemi da minacce simili.
