MadMxShell Backdoor
Схема на Google за злонамерена реклама използва група уебсайтове, които имитират легитимен софтуер за IP скенер, за да разпространяват новооткрита задна врата, наречена MadMxShell. Нападателите са регистрирали множество подобни на вид домейни чрез typosquatting и използват Google Ads, за да повишат тези сайтове в резултатите от търсенето, насочвайки се към конкретни ключови думи, за да привлекат нищо неподозиращи посетители.
Между ноември 2023 г. и март 2024 г. са регистрирани около 45 домейна, които се представят за различни софтуери за сканиране на портове и ИТ управление като Advanced IP Scanner, Angry IP Scanner, IP скенер PRTG и ManageEngine.
Въпреки че тактиките за злонамерена реклама са били използвани и преди за разпространение на зловреден софтуер чрез фалшиви уебсайтове, този инцидент бележи първия случай на използване на такъв метод за разпространение на сложна задна врата на Windows.
Съдържание
Актьори на заплахи примамват потребители с фалшиви уебсайтове, за да доставят мощен зловреден софтуер със задни вратички
Потребителите, които търсят тези инструменти, се насочват към измамни уебсайтове, съдържащи JavaScript код, който задейства изтеглянето на злонамерен файл с име „Advanced-ip-scanner.zip“, когато се щракне върху бутона за изтегляне.
В рамките на ZIP архива има два файла: „IVIEWERS.dll“ и „Advanced-ip-scanner.exe“. Последният използва странично зареждане на DLL, за да зареди „IVIEWERS.dll“ и да започне процеса на заразяване.
DLL файлът инжектира вграден шелкод в процеса „Advanced-ip-scanner.exe“, използвайки техника, наречена изпъкване на процеса. След това инжектираният EXE файл разопакова два допълнителни файла – „OneDrive.exe“ и „Secur32.dll“.
Легитимният подписан двоичен файл на Microsoft „OneDrive.exe“ се използва за зареждане на „Secur32.dll“ и изпълнение на задната врата на shellcode. Преди това злонамереният софтуер установява устойчивост на хоста, като създава планирана задача и деактивира Microsoft Defender Antivirus.
Задната вратичка MadMxShell извършва множество заплашителни действия
Наречен заради използването на DNS MX заявки за Command-and-Control (C2), задната вратичка MadMxShell е проектирана да събира системни данни, да изпълнява команди чрез cmd.exe и да извършва основни файлови операции като четене, писане и изтриване на файлове.
За да комуникира със своя C2 сървър („litterbolo.com“), той кодира данни в поддомейните на пълно квалифицирано име на домейн (FQDN) в пакети за заявки за обмен на DNS поща (MX) и дешифрира команди, вградени в пакети с отговори.
Използвайки тактики като многоетапно странично зареждане на DLL и DNS тунелиране за C2 комуникация, задната врата има за цел да избегне крайните точки и мерките за сигурност на мрежата. Освен това той използва методи за укриване, като например антидъмпинг, за да осуети анализа на паметта и да възпрепятства съдебните мерки за сигурност.
Заплашващият актьор зад задната врата на MadMxShell има неизвестни цели
Понастоящем няма окончателни улики относно произхода или намеренията на операторите на зловреден софтуер. Изследователите обаче са разкрили два акаунта, създадени от тях в криминални подземни форуми. По-конкретно, тези участници са били наблюдавани да участват в дискусии, предлагащи методи за установяване на неограничени акаунти с праг на Google AdSense още през юни 2023 г., което предполага голям интерес към стартиране на продължителна кампания за злонамерена реклама.
Акаунти и стратегии за използване на праговете на Google Ads обикновено се обменят във форумите на BlackHat. Тези методи често предоставят средство за участниците в заплахата да натрупват кредити за провеждане на кампании в Google Ads без незабавно плащане, което ефективно удължава продължителността на техните кампании. Достатъчно висок праг позволява на участниците в заплахата да поддържат своите рекламни кампании за продължителен период от време.
