Dans un monde hyperconnecté où la cybersécurité est une préoccupation majeure, des sites web légitimes mais compromis se retrouvent au cœur d’une chaîne de cyberattaques sophistiquées. Distribuant le malware BadSpace via de fausses mises à jour de navigateur, ces sites infectés soulèvent des inquiétudes sur la sécurité des utilisateurs et l’intégrité des systèmes informatiques.
Des sites légitimes, mais compromis
La chaîne d’attaque multi-étapes expliquée
Une analyse récente de la société allemande G DATA révèle une technicité alarmante utilisée par les pirates. Les attaquants exploitent des sites web compromis, dont certains sont basés sur WordPress, pour injecter un code malveillant. Ce code détermine lors de la première visite d’un utilisateur si ce dernier a préalablement fréquenté le site. Si non, le script collecte des données telles que l’adresse IP, l’agent utilisateur et la localisation, transmettant ces informations via une requête HTTP GET vers un domaine codé en dur.
Fausse mise à jour de navigateur comme leurre
Les données recueillies par le script initient un processus où une fausse fenêtre de mise à jour pour Google Chrome vient masquer le contenu légitime de la page. Cette fenêtre peut délivrer directement le malware ou passer par un téléchargeur JavaScript qui va alors télécharger et exécuter BadSpace sur l’appareil de la victime.
Profondeur de l’intrusion et réponses de la communauté cybersécurité
Analyse du serveur de commande et de contrôle
L’analyse des serveurs C2 impliqués dans la diffusion de BadSpace indique des liens avec SocGholish, un malware connu également sous le nom de FakeUpdates. Ce dernier, de nature JavaScript, utilise un mécanisme similaire de propagation via des mises à jour fictives.
Capacités du malware
BadSpace se distingue par ses vérifications anti-sandbox et ses méthodes pour obtenir une pérennité sur le système infecté via des tâches planifiées. Le logiciel peut collecter des informations systèmes d’importance et exécuter diverses commandes permettant de prendre des captures d’écran, d’exécuter des directives via cmd.exe, de lire et écrire des fichiers, et de supprimer les tâches programmées.
Au regard de ces informations, notre entreprise CyberCare offre des solutions de protection et de prévention contre ce type de menace. En identifiant et en neutralisant les attaques avant qu’elles n’affectent vos systèmes, nous vous aidons à sauvegarder l’intégrité de votre infrastructure numérique.
