Backdoor MadMxShell
Szkic złośliwych reklam Google wykorzystuje grupę witryn internetowych naśladujących legalne oprogramowanie skanera IP do dystrybucji nowo wykrytego backdoora o nazwie MadMxShell. Napastnicy zarejestrowali wiele podobnie wyglądających domen poprzez typosquatting i używają Google Ads do promowania tych witryn w wynikach wyszukiwania, kierując określone słowa kluczowe w celu przyciągnięcia niczego niepodejrzewających użytkowników.
Między listopadem 2023 r. a marcem 2024 r. zarejestrowano około 45 domen udających różne oprogramowanie do skanowania portów i zarządzania IT, takie jak Advanced IP Scanner, Angry IP Scanner, IP Scanner PRTG i ManageEngine.
Chociaż do dystrybucji złośliwego oprogramowania za pośrednictwem fałszywych witryn internetowych stosowano już wcześniej taktyki złośliwego oprogramowania, ten incydent stanowi pierwszy przypadek zastosowania takiej metody do rozprzestrzeniania złożonego backdoora systemu Windows.
Spis treści
Podmioty zagrażające wabią użytkowników fałszywymi witrynami internetowymi, aby dostarczać silne złośliwe oprogramowanie typu backdoor
Użytkownicy wyszukujący te narzędzia są kierowani do fałszywych witryn internetowych zawierających kod JavaScript, który po kliknięciu przycisku pobierania powoduje pobranie złośliwego pliku o nazwie „Advanced-ip-scanner.zip”.
W archiwum ZIP znajdują się dwa pliki: „IVIEWERS.dll” i „Advanced-ip-scanner.exe”. Ten ostatni wykorzystuje boczne ładowanie biblioteki DLL w celu załadowania pliku „IVIEWERS.dll” i zainicjowania procesu infekcji.
Plik DLL wstawia osadzony kod powłoki do procesu „Advanced-ip-scanner.exe” przy użyciu techniki zwanej wydrążaniem procesu. Następnie wstrzyknięty plik EXE rozpakowuje dwa dodatkowe pliki – „OneDrive.exe” i „Secur32.dll”.
Prawdziwy podpisany plik binarny firmy Microsoft „OneDrive.exe” jest wykorzystywany do załadowania pliku „Secur32.dll” i uruchomienia backdoora z kodem powłoki. Wcześniej złośliwe oprogramowanie ustanawia trwałość na hoście, tworząc zaplanowane zadanie i wyłączając program antywirusowy Microsoft Defender.
Backdoor MadMxShell wykonuje liczne groźne działania
Backdoor MadMxShell, którego nazwa wzięła się od wykorzystania zapytań DNS MX dla funkcji Command-and-Control (C2), został zaprojektowany w celu gromadzenia danych systemowych, wykonywania poleceń za pośrednictwem cmd.exe i przeprowadzania podstawowych operacji na plikach, takich jak odczytywanie, zapisywanie i usuwanie plików.
Aby komunikować się ze swoim serwerem C2 („litterbolo.com”), koduje dane w subdomenach w pełni kwalifikowanej nazwy domeny (FQDN) w pakietach zapytań wymiany poczty DNS (MX) i odszyfrowuje polecenia zawarte w pakietach odpowiedzi.
Stosując taktyki, takie jak wieloetapowe boczne ładowanie bibliotek DLL i tunelowanie DNS dla komunikacji C2, backdoor ma na celu ominięcie środków bezpieczeństwa punktów końcowych i sieci. Ponadto stosuje metody uchylania się od płacenia podatków, takie jak antydumping, aby udaremnić analizę pamięci i utrudniać stosowanie kryminalistycznych środków bezpieczeństwa.
Podmiot zagrażający stojący za backdoorem MadMxShell ma nieznane cele
Obecnie nie ma ostatecznych wskazówek dotyczących pochodzenia lub zamiarów operatorów szkodliwego oprogramowania. Badacze odkryli jednak dwa utworzone przez siebie konta na forach przestępczego podziemia. W szczególności zaobserwowano, że podmioty te uczestniczyły w dyskusjach oferujących metody zakładania nieograniczonej liczby kont progowych Google AdSense już w czerwcu 2023 r., co sugeruje duże zainteresowanie rozpoczęciem trwałej kampanii zawierającej złośliwe reklamy.
Konta i strategie wykorzystania progów Google Ads są powszechnie wymieniane na forach BlackHat. Metody te często umożliwiają cyberprzestępcom gromadzenie środków na prowadzenie kampanii Google Ads bez natychmiastowej płatności, skutecznie wydłużając czas trwania kampanii. Wystarczająco wysoki próg umożliwia cyberprzestępcom kontynuowanie kampanii reklamowych przez dłuższy czas.
