MadMxShell stražnja vrata
Googleova shema zlonamjernog oglašavanja koristi grupu web stranica koje oponašaju legitiman softver IP skenera za distribuciju novootkrivenog backdoora pod nazivom MadMxShell. Napadači su registrirali brojne domene sličnog izgleda putem typosquattinga i koriste Google Ads kako bi poboljšali te stranice u rezultatima pretraživanja, ciljajući određene ključne riječi kako bi privukli posjetitelje koji ništa ne sumnjaju.
Između studenog 2023. i ožujka 2024. registrirano je oko 45 domena koje su se pretvarale da su različiti softveri za skeniranje portova i IT upravljanje poput Advanced IP Scanner, Angry IP Scanner, IP scanner PRTG i ManageEngine.
Dok su se taktike zlonamjernog oglašavanja ranije koristile za distribuciju zlonamjernog softvera putem lažnih web stranica, ovaj incident označava prvi slučaj da se takva metoda koristi za širenje složenog Windows backdoor-a.
Sadržaj
Akteri prijetnji mame korisnike lažnim web stranicama da isporuče moćan backdoor malware
Korisnici koji pretražuju ove alate usmjeravaju se na lažna web-mjesta koja sadrže JavaScript kôd koji pokreće preuzimanje zlonamjerne datoteke pod nazivom 'Advanced-ip-scanner.zip' kada se klikne gumb za preuzimanje.
Unutar ZIP arhive nalaze se dvije datoteke: 'IVIEWERS.dll' i 'Advanced-ip-scanner.exe.' Potonji koristi bočno učitavanje DLL-a za učitavanje 'IVIEWERS.dll' i pokretanje procesa infekcije.
DLL datoteka ubacuje ugrađeni shellcode u proces 'Advanced-ip-scanner.exe' koristeći tehniku koja se zove proces hollowing. Nakon toga, umetnuta EXE datoteka raspakira dvije dodatne datoteke – 'OneDrive.exe' i 'Secur32.dll'.
Legitimno potpisana Microsoftova binarna datoteka 'OneDrive.exe' iskorištava se za učitavanje 'Secur32.dll' i izvršavanje shellcode backdoor-a. Prethodno zlonamjerni softver uspostavlja postojanost na glavnom računalu stvaranjem planiranog zadatka i onemogućavanjem antivirusnog programa Microsoft Defender.
MadMxShell Backdoor izvodi brojne prijeteće radnje
Nazvan po korištenju DNS MX upita za Command-and-Control (C2), MadMxShell backdoor dizajniran je za prikupljanje podataka o sustavu, izvršavanje naredbi putem cmd.exe i izvođenje osnovnih operacija datoteka poput čitanja, pisanja i brisanja datoteka.
Za komunikaciju sa svojim C2 poslužiteljem ('litterbolo.com'), on kodira podatke unutar poddomena potpuno kvalificiranog naziva domene (FQDN) u paketima upita DNS razmjene pošte (MX) i dešifrira naredbe ugrađene u pakete odgovora.
Primjenjujući taktike kao što su višestupanjsko bočno učitavanje DLL-a i DNS tuneliranje za C2 komunikaciju, backdoor ima za cilj izbjeći sigurnosne mjere krajnje točke i mreže. Osim toga, koristi metode izbjegavanja kao što je anti-dumping kako bi osujetio analizu sjećanja i spriječio forenzičke sigurnosne mjere.
Prijetnja koja stoji iza MadMxShell backdoora ima nepoznate ciljeve
Trenutačno nema konačnih tragova o podrijetlu ili namjerama operatera zlonamjernog softvera. Međutim, istraživači su otkrili dva računa koja su kreirali na forumima kriminalnog podzemlja. Konkretno, ti su akteri primijećeni kako sudjeluju u raspravama nudeći metode za uspostavljanje neograničenih Google AdSense računa s pragom još u lipnju 2023., što sugerira veliki interes za pokretanje trajne kampanje zlonamjernog oglašavanja.
Računi i strategije za iskorištavanje Google Ads pragova obično se razmjenjuju na BlackHat forumima. Te metode akterima prijetnji često pružaju način da akumuliraju kredite za pokretanje Google Ads kampanja bez trenutnog plaćanja, učinkovito produžujući trajanje svojih kampanja. Dovoljno visok prag omogućuje akterima prijetnji da održe svoje oglasne kampanje dulje vrijeme.
