MadMxShell Backdoor
Një skemë keqvertimi në Google po përdor një grup uebsajtesh që imitojnë softuerin legjitim të skanerit IP për të shpërndarë një derë të pasme të sapo zbuluar të quajtur MadMxShell. Sulmuesit kanë regjistruar domene të shumta me pamje të ngjashme përmes typosquatting dhe po përdorin Google Ads për të rritur këto faqe në rezultatet e kërkimit, duke synuar fjalë kyçe specifike për të tërhequr vizitorë që nuk dyshojnë.
Midis nëntorit 2023 dhe marsit 2024, u regjistruan rreth 45 domene, duke pretenduar se ishin softuer të ndryshëm për skanimin e porteve dhe menaxhimin e TI-së si Skaneri i avancuar IP, Skaneri i Angry IP, skaner IP PRTG dhe ManageEngine.
Ndërsa taktikat e reklamimit të keq janë përdorur më parë për të shpërndarë malware përmes faqeve të rreme të internetit, ky incident shënon rastin e parë të përdorimit të një metode të tillë për të përhapur një prapavijë komplekse të Windows.
Tabela e Përmbajtjes
Aktorët kërcënues joshin përdoruesit me faqe interneti të rreme për të ofruar malware të fuqishëm të prapambetur
Përdoruesit që kërkojnë për këto mjete drejtohen në faqe interneti mashtruese që përmbajnë kod JavaScript që shkakton shkarkimin e një skedari keqdashës të quajtur 'Advanced-ip-scanner.zip' kur klikohet butoni i shkarkimit.
Brenda arkivit ZIP, ka dy skedarë: 'IVIEWERS.dll' dhe 'Advanced-ip-scanner.exe.' Ky i fundit përdor ngarkimin anësor të DLL për të ngarkuar 'IVIEWERS.dll' dhe për të nisur procesin e infektimit.
Skedari DLL injekton shellcode të ngulitura në procesin 'Advanced-ip-scanner.exe' duke përdorur një teknikë të quajtur procesi zgavër. Më pas, skedari EXE i injektuar shpaketon dy skedarë shtesë - 'OneDrive.exe' dhe 'Secur32.dll'.
Binar "OneDrive.exe" i nënshkruar legjitim i Microsoft është shfrytëzuar për të ngarkuar "Secur32.dll" dhe për të ekzekutuar derën e pasme të shellcode. Paraprakisht, malware vendos qëndrueshmërinë në host duke krijuar një detyrë të planifikuar dhe duke çaktivizuar Microsoft Defender Antivirus.
Backdoor MadMxShell kryen veprime të shumta kërcënuese
I emëruar për përdorimin e pyetjeve DNS MX për Command-and-Control (C2), porta e pasme MadMxShell është krijuar për të mbledhur të dhëna të sistemit, për të ekzekutuar komanda përmes cmd.exe dhe për të kryer operacione themelore të skedarëve si leximi, shkrimi dhe fshirja e skedarëve.
Për të komunikuar me serverin e tij C2 ('litterbolo.com'), ai kodon të dhënat brenda nëndomeneve të Emrit të Domainit plotësisht të kualifikuar (FQDN) në paketat e pyetjeve të shkëmbimit të postës DNS (MX) dhe deshifron komandat e ngulitura në paketat e përgjigjes.
Duke përdorur taktika të tilla si ngarkimi anësor DLL me shumë faza dhe tunelizimi DNS për komunikimin C2, backdoor synon të shmangë masat e sigurisë së pikës së fundit dhe rrjetit. Për më tepër, ai përdor metoda evazioni si anti-dumping për të penguar analizën e kujtesës dhe për të penguar masat e sigurisë mjeko-ligjore.
Aktori i Kërcënimit pas Backdoor MadMxShell ka qëllime të panjohura
Aktualisht nuk ka të dhëna përfundimtare në lidhje me origjinën ose synimet e operatorëve të malware. Megjithatë, studiuesit kanë zbuluar dy llogari të krijuara prej tyre në forume të fshehta kriminale. Në mënyrë të veçantë, këta aktorë janë vëzhguar duke marrë pjesë në diskutime duke ofruar metoda për krijimin e llogarive të pakufizuara të pragut të Google AdSense që në qershor 2023, duke sugjeruar një interes të madh për të nisur një fushatë të qëndrueshme keqvertimi.
Llogaritë dhe strategjitë për shfrytëzimin e pragjeve të Google Ads zakonisht shkëmbehen në forumet e BlackHat. Këto metoda shpesh ofrojnë një mjet për aktorët e kërcënimit për të grumbulluar kredite për drejtimin e fushatave të Google Ads pa pagesë të menjëhershme, duke zgjatur efektivisht kohëzgjatjen e fushatave të tyre. Një prag mjaft i lartë u mundëson aktorëve kërcënues të mbështesin fushatat e tyre reklamuese për një periudhë të gjatë.
