Pintu Belakang MadMxShell
Skim malvertising Google menggunakan sekumpulan tapak web yang meniru perisian pengimbas IP yang sah untuk mengedarkan pintu belakang yang baru ditemui dipanggil MadMxShell. Penyerang telah mendaftarkan banyak domain yang kelihatan serupa melalui typosquatting dan menggunakan Google Ads untuk meningkatkan tapak ini dalam hasil carian, menyasarkan kata kunci khusus untuk menarik pelawat yang tidak curiga.
Antara November 2023 dan Mac 2024, sekitar 45 domain telah didaftarkan, berpura-pura menjadi pelbagai pengimbasan port dan perisian pengurusan IT seperti Pengimbas IP Lanjutan, Pengimbas IP Marah, pengimbas IP PRTG dan ManageEngine.
Walaupun taktik malvertising telah digunakan sebelum ini untuk mengedarkan perisian hasad melalui tapak web palsu, kejadian ini menandakan contoh pertama kaedah sedemikian digunakan untuk menyebarkan pintu belakang Windows yang kompleks.
Isi kandungan
Ancaman Pelakon Memikat Pengguna dengan Laman Web Palsu untuk Menyampaikan Perisian Hasad Pintu Belakang yang Ampuh
Pengguna yang mencari alat ini diarahkan ke tapak web penipuan yang mengandungi kod JavaScript yang mencetuskan muat turun fail hasad bernama 'Advanced-ip-scanner.zip' apabila butang muat turun diklik.
Dalam arkib ZIP, terdapat dua fail: 'IVIEWERS.dll' dan 'Advanced-ip-scanner.exe.' Yang terakhir ini menggunakan pemuatan sisi DLL untuk memuatkan 'IVIEWERS.dll' dan memulakan proses jangkitan.
Fail DLL menyuntik shellcode terbenam ke dalam proses 'Advanced-ip-scanner.exe' menggunakan teknik yang dipanggil proses hollowing. Selepas itu, fail EXE yang disuntik membongkar dua fail tambahan - 'OneDrive.exe' dan 'Secur32.dll'.
Perduaan Microsoft yang ditandatangani sah 'OneDrive.exe' dieksploitasi untuk memuatkan 'Secur32.dll' dan melaksanakan pintu belakang shellcode. Sebelum ini, perisian hasad mewujudkan kegigihan pada hos dengan mencipta tugas berjadual dan melumpuhkan Microsoft Defender Antivirus.
Pintu Belakang MadMxShell Melakukan Pelbagai Tindakan Mengancam
Dinamakan untuk penggunaan pertanyaan DNS MX untuk Command-and-Control (C2), pintu belakang MadMxShell direka bentuk untuk mengumpulkan data sistem, melaksanakan arahan melalui cmd.exe dan menjalankan operasi fail asas seperti membaca, menulis dan memadam fail.
Untuk berkomunikasi dengan pelayan C2nya ('litterbolo.com'), ia mengekod data dalam subdomain Nama Domain Layak Sepenuhnya (FQDN) dalam paket pertanyaan pertukaran mel DNS (MX) dan mentafsir perintah yang dibenamkan dalam paket tindak balas.
Menggunakan taktik seperti pemuatan sisi DLL berbilang peringkat dan terowong DNS untuk komunikasi C2, pintu belakang bertujuan untuk mengelakkan titik akhir dan langkah keselamatan rangkaian. Selain itu, ia menggunakan kaedah pengelakan seperti anti-lambakan untuk menggagalkan analisis ingatan dan menghalang langkah keselamatan forensik.
Pelakon Ancaman di sebalik Pintu Belakang MadMxShell Mempunyai Matlamat Tidak Diketahui
Pada masa ini tiada petunjuk pasti mengenai asal usul atau niat pengendali perisian hasad. Walau bagaimanapun, penyelidik telah menemui dua akaun yang dibuat oleh mereka di forum bawah tanah jenayah. Secara khusus, pelakon ini telah diperhatikan mengambil bahagian dalam perbincangan yang menawarkan kaedah untuk mewujudkan akaun ambang Google AdSense tanpa had setakat Jun 2023, mencadangkan minat yang mendalam untuk melancarkan kempen malvertising yang berterusan.
Akaun dan strategi untuk mengeksploitasi ambang Google Ads biasanya ditukar pada forum BlackHat. Kaedah ini selalunya menyediakan cara bagi pelaku ancaman untuk mengumpul kredit untuk menjalankan kempen Google Ads tanpa pembayaran segera, dengan berkesan memanjangkan tempoh kempen mereka. Ambang yang cukup tinggi membolehkan pelaku ancaman mengekalkan kempen iklan mereka untuk tempoh yang panjang.
