MadMxShell Backdoor

یک طرح تبلیغات بد گوگل از گروهی از وب سایت‌ها استفاده می‌کند که از نرم‌افزار اسکنر IP قانونی تقلید می‌کنند تا یک درب پشتی تازه کشف شده به نام MadMxShell را توزیع کنند. مهاجمان دامنه‌های مشابه زیادی را از طریق typosquatting ثبت کرده‌اند و از Google Ads برای تقویت این سایت‌ها در نتایج جستجو استفاده می‌کنند و کلمات کلیدی خاصی را هدف قرار می‌دهند تا بازدیدکنندگانی را جذب کنند.

بین نوامبر 2023 و مارس 2024، حدود 45 دامنه ثبت شد که وانمود می‌کردند که نرم‌افزارهای مختلف اسکن پورت و مدیریت فناوری اطلاعات مانند Advanced IP Scanner، Angry IP Scanner، IP scanner PRTG و ManageEngine هستند.

در حالی که تاکتیک‌های بدافزار قبلاً برای توزیع بدافزار از طریق وب‌سایت‌های جعلی استفاده می‌شد، این حادثه اولین نمونه از چنین روشی است که برای گسترش یک درپشتی پیچیده ویندوز استفاده می‌شود.

بازیگران تهدید، کاربران را با وب‌سایت‌های جعلی برای ارائه بدافزارهای پشتی قدرتمند فریب می‌دهند

کاربرانی که این ابزارها را جستجو می‌کنند به وب‌سایت‌های جعلی حاوی کد جاوا اسکریپت هدایت می‌شوند که با کلیک روی دکمه دانلود، فایل مخربی به نام «Advanced-ip-scanner.zip» را دانلود می‌کند.

در بایگانی ZIP، دو فایل وجود دارد: «IVIEWERS.dll» و «Advanced-ip-scanner.exe». دومی از بارگذاری جانبی DLL برای بارگیری «IVIEWERS.dll» و آغاز فرآیند آلودگی استفاده می‌کند.

فایل DLL با استفاده از تکنیکی به نام فرآیند توخالی، پوسته‌کد تعبیه‌شده را به فرآیند Advanced-ip-scanner.exe تزریق می‌کند. پس از آن، فایل EXE تزریق شده دو فایل دیگر را باز می‌کند - «OneDrive.exe» و «Secur32.dll».

باینری مایکروسافت امضا شده قانونی "OneDrive.exe" برای بارگیری "Secur32.dll" و اجرای درب پشتی پوسته مورد سوء استفاده قرار می گیرد. پیش از این، بدافزار با ایجاد یک کار زمان‌بندی‌شده و غیرفعال کردن آنتی‌ویروس Microsoft Defender، پایداری را در میزبان ایجاد می‌کند.

درب پشتی MadMxShell اقدامات تهدیدآمیز متعددی را انجام می دهد

درپشتی MadMxShell که به دلیل استفاده از جستارهای DNS MX برای Command-and-Control (C2) نامگذاری شده است، برای جمع‌آوری داده‌های سیستم، اجرای دستورات از طریق cmd.exe و انجام عملیات‌های اساسی فایل مانند خواندن، نوشتن و حذف فایل‌ها طراحی شده است.

برای برقراری ارتباط با سرور C2 خود ('litterbolo.com')، داده ها را در زیر دامنه های نام دامنه کاملاً واجد شرایط (FQDN) در بسته های پرس و جو تبادل نامه DNS (MX) رمزگذاری می کند و دستورات تعبیه شده در بسته های پاسخ را رمزگشایی می کند.

با استفاده از تاکتیک‌هایی مانند بارگذاری جانبی DLL چند مرحله‌ای و تونل‌سازی DNS برای ارتباطات C2، هدف درب پشتی دور زدن نقطه پایانی و اقدامات امنیتی شبکه است. علاوه بر این، از روش‌های فرار مانند ضد دامپینگ برای خنثی کردن تحلیل حافظه و جلوگیری از اقدامات امنیتی پزشکی قانونی استفاده می‌کند.

بازیگر تهدید در پشت درب MadMxShell اهداف نامعلومی دارد

در حال حاضر هیچ سرنخ قطعی در مورد منشاء یا اهداف اپراتورهای بدافزار وجود ندارد. با این حال، محققان دو حساب ایجاد شده توسط آنها را در انجمن های زیرزمینی جنایی کشف کرده اند. به طور خاص، مشاهده شده است که این بازیگران در بحث‌هایی شرکت می‌کنند که روش‌هایی برای ایجاد حساب‌های آستانه نامحدود Google AdSense در ژوئن 2023 ارائه می‌دهند، که نشان‌دهنده علاقه شدید به راه‌اندازی یک کمپین بد تبلیغاتی پایدار است.

حساب‌ها و استراتژی‌ها برای بهره‌برداری از آستانه تبلیغات Google معمولاً در انجمن‌های BlackHat رد و بدل می‌شوند. این روش‌ها اغلب ابزاری را برای عوامل تهدید فراهم می‌کنند تا برای اجرای کمپین‌های Google Ads بدون پرداخت فوری اعتبار جمع کنند و به طور موثر مدت کمپین‌های خود را افزایش دهند. آستانه به اندازه کافی بالا به بازیگران تهدید امکان می دهد کمپین های تبلیغاتی خود را برای مدت طولانی حفظ کنند.