Новый троян BadSpace маскируется под обновление Chrome

Специалисты по кибербезопасности из G DATA выявили новый тип вредоносного ПО под названием BadSpace, который скрывается под маской обновления для браузера Google Chrome. Этот бэкдор проникает в системы через сайты на WordPress, которые были скомпрометированы. При первом визите на такой сайт, посетителям отображается всплывающее окно, утверждающее, что необходимо обновить Chrome для продолжения работы.

Вредоносный JavaScript, интегрированный в страницу, собирает информацию о пользователе, включая тип устройства, IP-адрес и геолокацию, и передаёт эти данные посредством HTTP GET запроса. Если пользователь соглашается на «обновление», его компьютер становится целью для установки бэкдора BadSpace или его загрузчика. Злоумышленники используют обфусцированный JavaScript и PowerShell для активации вредоноса, который запускается через rundll32.exe после короткой задержки.

Этот бэкдор способен на множество действий: от создания запланированных задач для обеспечения постоянного доступа к системе до передачи данных о системе на сервер управления. BadSpace может выполнять команды, делать скриншоты, а также читать и записывать файлы, значительно нарушая конфиденциальность пользователей.

Домены, используемые для связи с сервером, уже были замечены в предыдущих атаках, что свидетельствует о принадлежности к известной группе киберпреступников. Пользователям следует быть крайне осторожными при встрече с любыми запросами об обновлении программного обеспечения, особенно если они появляются неожиданно и требуют немедленных действий.