MadMxShell Backdoor
A Google rosszindulatú hirdetési rendszere olyan webhelyek csoportját használja, amelyek legitim IP-szkenner szoftvert utánoznak egy újonnan felfedezett MadMxShell nevű hátsó ajtó terjesztésére. A támadók számos hasonló kinézetű domaint regisztráltak gépelési módszerrel, és a Google Ads segítségével növelik ezeket a webhelyeket a keresési eredmények között, és konkrét kulcsszavakat céloznak meg, hogy gyanútlan látogatókat vonzanak.
2023 novembere és 2024 márciusa között körülbelül 45 domaint regisztráltak, amelyek különféle port-ellenőrző és informatikai felügyeleti szoftvereknek adták ki magukat, mint például az Advanced IP Scanner, az Angry IP Scanner, a PRTG IP-szkenner és a ManageEngine.
Míg korábban is alkalmaztak rosszindulatú reklámozási taktikákat a rosszindulatú programok hamis webhelyeken keresztüli terjesztésére, ez az incidens az első példa arra, hogy ilyen módszert alkalmaztak egy összetett Windows hátsó ajtó terjesztésére.
Tartalomjegyzék
Fenyegető szereplők hamis webhelyekkel csalogatják a felhasználókat, hogy hatékony hátsó ajtós rosszindulatú programokat hozzanak létre
Azokat a felhasználókat, akik ezeket az eszközöket keresik, olyan csalárd webhelyekre irányítják, amelyek JavaScript-kódot tartalmaznak, amely a letöltés gombra kattintva elindítja az „Advanced-ip-scanner.zip” nevű rosszindulatú fájl letöltését.
A ZIP-archívumban két fájl található: „IVIEWERS.dll” és „Advanced-ip-scanner.exe”. Ez utóbbi a DLL oldalbetöltését használja az „IVIEWERS.dll” betöltéséhez és a fertőzési folyamat elindításához.
A DLL-fájl beágyazott shellkódot szúr be az „Advanced-ip-scanner.exe” folyamatba a folyamatürítésnek nevezett technikával. Ezt követően a beinjektált EXE fájl két további fájlt – a „OneDrive.exe” és a „Secur32.dll” – csomagol ki.
A Microsoft jogszerűen aláírt „OneDrive.exe” bináris fájlját használják ki a „Secur32.dll” betöltésére és a shellcode backdoor végrehajtására. Előzetesen a rosszindulatú program fenntartja a gazdagépen az ütemezett feladat létrehozásával és a Microsoft Defender Antivirus letiltásával.
A MadMxShell Backdoor számos fenyegető műveletet hajt végre
A MadMxShell hátsó ajtót a Command-and-Control (C2) DNS MX-lekérdezéseinek használatáról kapta. A MadMxShell hátsó ajtót úgy tervezték, hogy rendszeradatokat gyűjtsön, parancsokat hajtson végre a cmd.exe-n keresztül, és olyan alapvető fájlműveleteket hajtson végre, mint a fájlok olvasása, írása és törlése.
A C2-szerverével ("litterbolo.com") való kommunikációhoz adatokat kódol a Fully Qualified Domain Name (FQDN) aldomainjein belül a DNS mail Exchange (MX) lekérdezési csomagokban, és megfejti a válaszcsomagokba ágyazott parancsokat.
Az olyan taktikákat alkalmazva, mint a többlépcsős DLL oldalbetöltés és a DNS-alagút a C2 kommunikációhoz, a hátsó ajtó célja, hogy elkerülje a végpont- és hálózatbiztonsági intézkedéseket. Ezenkívül kijátszási módszereket, például dömpingellenes módszereket alkalmaz, hogy meghiúsítsa a memóriaelemzést és megakadályozza a törvényszéki biztonsági intézkedéseket.
A MadMxShell Backdoor mögött álló fenyegető színésznek ismeretlen céljai vannak
Jelenleg nincsenek végleges nyomok a rosszindulatú programok üzemeltetőinek eredetére vagy szándékaira vonatkozóan. A kutatók azonban feltártak két fiókot, amelyeket ők készítettek bűnözői underground fórumokon. Konkrétan megfigyelték, hogy ezek a szereplők 2023 júniusában olyan vitákban vettek részt, amelyek korlátlan számú Google AdSense küszöbérték-fiók létrehozására irányultak, ami arra utal, hogy élénken érdeklődnek egy tartós rosszindulatú reklámkampány indítása iránt.
A Google Ads küszöbértékeinek kihasználására szolgáló fiókokat és stratégiákat gyakran cserélik a BlackHat fórumain. Ezek a módszerek gyakran lehetőséget biztosítanak a fenyegetettség szereplőinek arra, hogy azonnali fizetés nélkül jóváírást gyűjtsenek a Google Ads-kampányok futtatásához, hatékonyan meghosszabbítva ezzel kampányaik időtartamát. A kellően magas küszöb lehetővé teszi a fenyegetés szereplői számára, hogy hosszabb ideig fenntartsák hirdetési kampányaikat.
