BadSpace バックドア
本物だが侵害された Web サイトが、偽のブラウザ更新を装った BadSpace と呼ばれる Windows バックドアの配布に悪用されています。攻撃者の戦略は複数の段階から成り、感染した Web サイト、コマンド アンド コントロール (C2) サーバー、場合によっては偽のブラウザ更新、そして最後に被害者のシステムにバックドアを埋め込む JScript ダウンローダーから始まり、段階を踏みます。
目次
サイバー犯罪者は侵害されたサイトを悪用してBadSpaceバックドアを拡散
このプロセスは、WordPress を使用しているサイトなど、侵害された Web サイトから始まり、そこに破損したコードが挿入されます。このコードには、訪問者が以前にサイトにアクセスしたかどうかを確認するロジックが含まれています。最初のアクセス時に、コードはデバイス、IP アドレス、ユーザー エージェント、場所に関するデータを収集し、HTTP GET リクエストを介して定義済みのドメインに送信します。
これに応答して、サーバーは Web ページに偽の Google Chrome 更新プロンプトを重ねて表示します。このプロンプトは、マルウェアを直接または JavaScript ダウンローダー経由で配信する手段として機能し、その後 BadSpace がダウンロードされて起動されます。
BadSpaceバックドアは、さまざまな侵入行為を実行できる
BadSpace は、アンチサンドボックス チェックを実行し、スケジュールされたタスクを通じて永続性を確立するだけでなく、システム データを収集します。スクリーンショットの撮影、cmd.exe 経由のコマンドの実行、ファイルの操作、スケジュールされたタスクの削除など、さまざまなコマンドを実行できます。
攻撃に使用されたコマンド アンド コントロール (C2) サーバーの調査により、 SocGholish (別名 FakeUpdates) という既知のマルウェアへのリンクが明らかになりました。SocGholish は、同様の方法で配布される JavaScript ベースのダウンローダー マルウェアです。
セキュリティ研究者は、侵害されたウェブサイトで偽のブラウザ更新戦術を利用するキャンペーンの増加について、個人と組織の両方に警告しています。これらのキャンペーンは、情報窃盗プログラムとリモート アクセス型トロイの木馬 (RAT) を配布することを目的としています。
バックドアの脅威は被害者に深刻な結果をもたらす可能性がある
バックドア マルウェアの脅威は被害者に重大なリスクをもたらし、深刻な結果を招く可能性があります。
- データ盗難: バックドアは、パスワード、財務データ、個人文書、知的財産などの機密情報を密かに収集します。収集されたデータは、個人情報の盗難、金融詐欺、企業スパイなど、さまざまな有害な目的に使用される可能性があります。
要約すると、バックドア マルウェアの脅威は深刻かつ広範囲にわたる結果をもたらす可能性があり、被害者のデジタル資産だけでなく、経済的安定、プライバシー、評判にも影響を及ぼします。
