MadMxShell Backdoor
„Google“ kenkėjiško reklamavimo schema naudoja svetainių grupę, kuri imituoja teisėtą IP skaitytuvo programinę įrangą, kad platintų naujai atrastą užpakalinę durelę, pavadintą „MadMxShell“. Užpuolikai užregistravo daugybę panašios išvaizdos domenų, naudodami spausdinimo klaidas, ir naudoja „Google Ads“, kad padidintų šias svetaines paieškos rezultatuose, taikydami konkrečius raktinius žodžius, kad pritrauktų nieko neįtariančius lankytojus.
Nuo 2023 m. lapkričio mėn. iki 2024 m. kovo mėn. buvo užregistruoti apie 45 domenai, apsimetę įvairia prievadų nuskaitymo ir IT valdymo programine įranga, pvz., „Advanced IP Scanner“, „Angry IP Scanner“, IP skaitytuvu PRTG ir „ManageEngine“.
Nors kenkėjiškos reklamos taktika buvo naudojama anksčiau platinant kenkėjiškas programas per netikras svetaines, šis įvykis yra pirmasis tokio metodo atvejis, kai naudojamas sudėtingas „Windows“ užpakalinės durys.
Turinys
Aktoriai vilioja vartotojus netikromis svetainėmis, kad sukurtų galingą „Backdoor“ kenkėjišką programą
Naudotojai, ieškantys šių įrankių, nukreipiami į nesąžiningas svetaines, kuriose yra „JavaScript“ kodas, kuris suaktyvina kenkėjiško failo, pavadinto „Advanced-ip-scanner.zip“, atsisiuntimą, kai paspaudžiamas atsisiuntimo mygtukas.
ZIP archyve yra du failai: „IVIEWERS.dll“ ir „Advanced-ip-scanner.exe“. Pastarasis naudoja DLL šoninį įkėlimą, kad įkeltų „IVIEWERS.dll“ ir inicijuotų užkrėtimo procesą.
DLL failas įterpia įterptinį apvalkalo kodą į „Advanced-ip-scanner.exe“ procesą, naudodamas techniką, vadinamą proceso tuščiaviduriu. Vėliau įterptas EXE failas išpakuoja du papildomus failus – „OneDrive.exe“ ir „Secur32.dll“.
Teisėtas pasirašytas „Microsoft“ dvejetainis failas „OneDrive.exe“ naudojamas „Secur32.dll“ įkelti ir apvalkalo kodo galinių durų vykdymui. Iš anksto kenkėjiška programa užtikrina nuolatinį pagrindinį kompiuterį sukurdama suplanuotą užduotį ir išjungdama „Microsoft Defender Antivirus“.
„MadMxShell Backdoor“ atlieka daugybę grėsmingų veiksmų
Pavadintas dėl DNS MX užklausų panaudojimo komandoms ir valdymui (C2), „MadMxShell“ užpakalinės durys yra sukurtos rinkti sistemos duomenis, vykdyti komandas per cmd.exe ir atlikti pagrindines failų operacijas, tokias kaip failų skaitymas, rašymas ir trynimas.
Kad galėtų susisiekti su savo C2 serveriu („litterbolo.com“), jis koduoja duomenis visiškai kvalifikuoto domeno vardo (FQDN) subdomenuose DNS pašto mainų (MX) užklausų paketuose ir iššifruoja komandas, įterptas į atsakymų paketus.
Naudojant tokias taktikas kaip kelių etapų DLL šoninis įkėlimas ir DNS tuneliavimas C2 ryšiui, užpakalinės durys siekia išvengti galinių taškų ir tinklo saugumo priemonių. Be to, ji naudoja vengimo metodus, tokius kaip antidempingas, kad sutrukdytų atminties analizei ir trukdytų atlikti teismo ekspertizės priemones.
„MadMxShell Backdoor“ grėsmių aktorius turi nežinomų tikslų
Šiuo metu nėra jokių galutinių užuominų apie kenkėjiškų programų operatorių kilmę ar ketinimus. Tačiau mokslininkai atskleidė dvi jų sukurtas paskyras kriminaliniuose pogrindžio forumuose. Konkrečiai, šie veikėjai jau 2023 m. birželio mėn. buvo pastebėti dalyvaujantys diskusijose, siūlančiose neribotų „Google AdSense“ slenksčio paskyrų kūrimo metodus, o tai rodo didelį susidomėjimą pradėti nuolatinę kenkėjiškos reklamos kampaniją.
„BlackHat“ forumuose dažniausiai keičiamasi paskyromis ir strategijomis, kaip išnaudoti „Google Ads“ slenksčius. Šie metodai dažnai suteikia grėsmės subjektams galimybę kaupti kreditus už „Google Ads“ kampanijų vykdymą be tiesioginio mokėjimo, taip veiksmingai pailginant kampanijų trukmę. Pakankamai aukštas slenkstis leidžia grėsmės veikėjams išlaikyti savo reklamos kampanijas ilgesnį laiką.
