MadMxShell Backdoor
Ένα σύστημα κακόβουλης διαφήμισης της Google χρησιμοποιεί μια ομάδα ιστότοπων που μιμούνται το νόμιμο λογισμικό σαρωτή IP για τη διανομή μιας νέας κερκόπορτας που ανακαλύφθηκε με την ονομασία MadMxShell. Οι εισβολείς έχουν καταχωρίσει πολυάριθμους τομείς παρόμοιας εμφάνισης μέσω typosquatting και χρησιμοποιούν το Google Ads για να ενισχύσουν αυτούς τους ιστότοπους στα αποτελέσματα αναζήτησης, στοχεύοντας συγκεκριμένες λέξεις-κλειδιά για να προσελκύσουν ανυποψίαστους επισκέπτες.
Μεταξύ Νοεμβρίου 2023 και Μαρτίου 2024, καταγράφηκαν περίπου 45 τομείς, προσποιούμενοι ότι ήταν διάφορα λογισμικά σάρωσης θυρών και διαχείρισης IT όπως το Advanced IP Scanner, το Angry IP Scanner, το IP scanner PRTG και το ManageEngine.
Ενώ έχουν χρησιμοποιηθεί τακτικές κακόβουλης διαφήμισης στο παρελθόν για τη διανομή κακόβουλου λογισμικού μέσω ψεύτικων ιστότοπων, αυτό το περιστατικό σηματοδοτεί την πρώτη περίπτωση μιας τέτοιας μεθόδου που χρησιμοποιείται για τη διάδοση μιας περίπλοκης κερκόπορτας των Windows.
Πίνακας περιεχομένων
Ηθοποιοί απειλών δελεάζουν χρήστες με ψεύτικους ιστότοπους για να παραδώσουν ισχυρό κακόβουλο λογισμικό Backdoor
Οι χρήστες που αναζητούν αυτά τα εργαλεία κατευθύνονται σε δόλιους ιστότοπους που περιέχουν κώδικα JavaScript που ενεργοποιεί τη λήψη ενός κακόβουλου αρχείου με το όνομα 'Advanced-ip-scanner.zip' όταν κάνετε κλικ στο κουμπί λήψης.
Μέσα στο αρχείο ZIP, υπάρχουν δύο αρχεία: "IVIEWERS.dll" και "Advanced-ip-scanner.exe". Το τελευταίο χρησιμοποιεί πλευρική φόρτωση DLL για να φορτώσει το 'IVIEWERS.dll' και να ξεκινήσει τη διαδικασία μόλυνσης.
Το αρχείο DLL εισάγει τον ενσωματωμένο shellcode στη διαδικασία "Advanced-ip-scanner.exe" χρησιμοποιώντας μια τεχνική που ονομάζεται διαδικασία hollowing. Στη συνέχεια, το εισαγόμενο αρχείο EXE αποσυσκευάζει δύο επιπλέον αρχεία – το «OneDrive.exe» και το «Secur32.dll».
Το νόμιμο υπογεγραμμένο δυαδικό «OneDrive.exe» της Microsoft αξιοποιείται για τη φόρτωση του «Secur32.dll» και την εκτέλεση της κερκόπορτας του shellcode. Εκ των προτέρων, το κακόβουλο λογισμικό αποκαθιστά την επιμονή στον κεντρικό υπολογιστή δημιουργώντας μια προγραμματισμένη εργασία και απενεργοποιώντας το Microsoft Defender Antivirus.
Το Backdoor MadMxShell εκτελεί πολυάριθμες απειλητικές ενέργειες
Ονομάστηκε για τη χρήση ερωτημάτων DNS MX για Command-and-Control (C2), η κερκόπορτα MadMxShell έχει σχεδιαστεί για να συλλέγει δεδομένα συστήματος, να εκτελεί εντολές μέσω cmd.exe και να διεξάγει θεμελιώδεις λειτουργίες αρχείων, όπως ανάγνωση, εγγραφή και διαγραφή αρχείων.
Για να επικοινωνεί με τον διακομιστή του C2 («litterbolo.com»), κωδικοποιεί δεδομένα στους υποτομείς του πλήρως πιστοποιημένου ονόματος τομέα (FQDN) σε πακέτα ερωτημάτων ανταλλαγής αλληλογραφίας DNS (MX) και αποκρυπτογραφεί εντολές που είναι ενσωματωμένες σε πακέτα απόκρισης.
Χρησιμοποιώντας τακτικές όπως η πλευρική φόρτωση DLL πολλαπλών σταδίων και η σήραγγα DNS για επικοινωνία C2, η κερκόπορτα στοχεύει να ξεφύγει από μέτρα ασφαλείας τελικού σημείου και δικτύου. Επιπλέον, χρησιμοποιεί μεθόδους φοροδιαφυγής, όπως το αντιντάμπινγκ για να εμποδίσει την ανάλυση μνήμης και να εμποδίσει τα εγκληματολογικά μέτρα ασφαλείας.
Ο Threat Actor πίσω από το MadMxShell Backdoor έχει άγνωστους στόχους
Επί του παρόντος δεν υπάρχουν οριστικές ενδείξεις σχετικά με την προέλευση ή τις προθέσεις των χειριστών κακόβουλου λογισμικού. Ωστόσο, οι ερευνητές έχουν αποκαλύψει δύο λογαριασμούς που δημιουργήθηκαν από αυτούς σε εγκληματικά υπόγεια φόρουμ. Συγκεκριμένα, έχουν παρατηρηθεί ότι αυτοί οι παράγοντες συμμετέχουν σε συζητήσεις που προσφέρουν μεθόδους δημιουργίας απεριόριστων ορίων λογαριασμών Google AdSense ήδη από τον Ιούνιο του 2023, υποδηλώνοντας έντονο ενδιαφέρον για την έναρξη μιας συνεχούς καμπάνιας κακόβουλης διαφήμισης.
Οι λογαριασμοί και οι στρατηγικές για την εκμετάλλευση των ορίων του Google Ads ανταλλάσσονται συνήθως στα φόρουμ του BlackHat. Αυτές οι μέθοδοι παρέχουν συχνά ένα μέσο για τους παράγοντες απειλών να συγκεντρώσουν πιστώσεις για την εκτέλεση καμπανιών Google Ads χωρίς άμεση πληρωμή, επεκτείνοντας ουσιαστικά τη διάρκεια των καμπανιών τους. Ένα επαρκώς υψηλό όριο επιτρέπει στους παράγοντες απειλών να διατηρήσουν τις διαφημιστικές τους καμπάνιες για μεγάλο χρονικό διάστημα.
