MadMxShell ब्याकडोर
Google malvertising योजनाले MadMxShell भनिने नयाँ खोजिएको ब्याकडोर वितरण गर्न वैध IP स्क्यानर सफ्टवेयरको नक्कल गर्ने वेबसाइटहरूको समूह प्रयोग गरिरहेको छ। आक्रमणकारीहरूले typosquatting मार्फत धेरै समान देखिने डोमेनहरू दर्ता गरेका छन् र खोज परिणामहरूमा यी साइटहरूलाई बढावा दिन Google विज्ञापनहरू प्रयोग गरिरहेका छन्, अस्पष्ट आगन्तुकहरूलाई आकर्षित गर्न विशेष किवर्डहरूलाई लक्षित गर्दै।
नोभेम्बर 2023 र मार्च 2024 को बीचमा, लगभग 45 डोमेनहरू दर्ता भएका थिए, विभिन्न पोर्ट स्क्यानिङ र IT व्यवस्थापन सफ्टवेयर जस्तै उन्नत IP स्क्यानर, एंग्री आईपी स्क्यानर, IP स्क्यानर PRTG र ManageEngine भएको बहाना गर्दै।
नक्कली वेबसाइटहरू मार्फत मालवेयर वितरण गर्न पहिले मालभरटाइजिङ रणनीतिहरू प्रयोग गरिए पनि, यो घटनाले जटिल विन्डोज ब्याकडोर फैलाउनको लागि यस्तो विधि प्रयोग गरेको पहिलो उदाहरण हो।
सामग्रीको तालिका
धम्की दिने अभिनेताहरूले शक्तिशाली ब्याकडोर मालवेयर डेलिभर गर्न नक्कली वेबसाइटहरूको साथ प्रयोगकर्ताहरूलाई प्रलोभन दिन्छ
यी उपकरणहरूको खोजी गर्ने प्रयोगकर्ताहरूलाई जाभास्क्रिप्ट कोड भएको धोखाधडी वेबसाइटहरूमा निर्देशित गरिन्छ जसले डाउनलोड बटन क्लिक गर्दा 'Advanced-ip-scanner.zip' नामको खराब फाइलको डाउनलोड ट्रिगर गर्दछ।
ZIP अभिलेख भित्र, त्यहाँ दुई फाइलहरू छन्: 'IVIEWERS.dll' र 'Advanced-ip-scanner.exe।' पछिल्लोले 'IVIEWERS.dll' लोड गर्न र संक्रमण प्रक्रिया सुरु गर्न DLL साइड-लोडिङ प्रयोग गर्दछ।
DLL फाइलले 'Advanced-ip-scanner.exe' प्रक्रियामा इम्बेडेड शेलकोड इन्जेक्ट गर्छ जसलाई प्रक्रिया होलोइङ भनिन्छ। त्यसपछि, इन्जेक्ट गरिएको EXE फाइलले दुई अतिरिक्त फाइलहरू अनप्याक गर्छ - 'OneDrive.exe' र 'Secur32.dll'।
वैध हस्ताक्षरित माइक्रोसफ्ट बाइनरी 'OneDrive.exe' लाई 'Secur32.dll' लोड गर्न र शेलकोड ब्याकडोर कार्यान्वयन गर्न प्रयोग गरिन्छ। पहिले नै, मालवेयरले तालिकाबद्ध कार्य सिर्जना गरेर र Microsoft डिफेन्डर एन्टिभाइरसलाई असक्षम गरेर होस्टमा दृढता स्थापित गर्दछ।
MadMxShell ब्याकडोरले धेरै धम्की दिने कार्यहरू गर्दछ
Command-and-Control (C2) को लागि DNS MX क्वेरीहरूको यसको उपयोगको लागि नामकरण गरिएको, MadMxShell ब्याकडोर प्रणाली डेटा सङ्कलन गर्न, cmd.exe मार्फत आदेशहरू कार्यान्वयन गर्न, र फाइलहरू पढ्ने, लेख्ने र मेटाउने जस्ता आधारभूत फाइल सञ्चालनहरू सञ्चालन गर्न इन्जिनियर गरिएको छ।
यसको C2 सर्भर ('litterbolo.com') सँग सञ्चार गर्न, यसले DNS मेल एक्सचेन्ज (MX) क्वेरी प्याकेटहरूमा पूर्ण रूपमा योग्य डोमेन नाम (FQDN) को सबडोमेनहरू भित्र डेटा एन्कोड गर्दछ र प्रतिक्रिया प्याकेटहरूमा इम्बेड गरिएका डिसिफर आदेशहरू।
C2 संचारको लागि बहु-चरण DLL साइड-लोडिङ र DNS टनेलिङ जस्ता रणनीतिहरू प्रयोग गर्दै, ब्याकडोरको उद्देश्य अन्तिम बिन्दु र नेटवर्क सुरक्षा उपायहरू हटाउने हो। थप रूपमा, यसले मेमोरी विश्लेषणलाई विफल पार्न र फोरेन्सिक सुरक्षा उपायहरूमा बाधा पुर्याउन एन्टी-डम्पिंग जस्ता चोरी विधिहरू प्रयोग गर्दछ।
MadMxShell ब्याकडोर पछाडि थ्रेट अभिनेता अज्ञात लक्ष्यहरू छन्
मालवेयर अपरेटरहरूको उत्पत्ति वा मनसाय बारे हाल कुनै निश्चित सुरागहरू छैनन्। यद्यपि, अन्वेषकहरूले आपराधिक भूमिगत फोरमहरूमा उनीहरूले सिर्जना गरेका दुई खाताहरू पत्ता लगाएका छन्। विशेष रूपमा, यी कलाकारहरूले जुन 2023 सम्म असीमित Google AdSense थ्रेसहोल्ड खाताहरू स्थापना गर्ने तरिकाहरू प्रस्ताव गर्ने छलफलहरूमा भाग लिएका छन्, जसले निरन्तर खराबी अभियान सुरु गर्न गहिरो चासो देखाएको छ।
Google विज्ञापन थ्रेसहोल्डको शोषणका लागि खाता र रणनीतिहरू सामान्यतया BlackHat फोरमहरूमा आदानप्रदान गरिन्छ। यी विधिहरूले प्राय: खतरा अभिनेताहरूलाई तत्काल भुक्तानी बिना Google विज्ञापन अभियानहरू चलाउनका लागि क्रेडिटहरू जम्मा गर्न, प्रभावकारी रूपमा तिनीहरूको अभियानहरूको अवधि विस्तार गर्ने माध्यम प्रदान गर्दछ। पर्याप्त उच्च थ्रेसहोल्डले खतरा अभिनेताहरूलाई उनीहरूको विज्ञापन अभियानहरू विस्तारित अवधिको लागि जारी राख्न सक्षम बनाउँछ।
