MadMxShell பின்கதவு
MadMxShell எனப்படும் புதிதாகக் கண்டுபிடிக்கப்பட்ட பின்கதவை விநியோகிக்க, முறையான IP ஸ்கேனர் மென்பொருளைப் பிரதிபலிக்கும் வலைத்தளங்களின் குழுவை Google தவறான விளம்பரத் திட்டம் பயன்படுத்துகிறது. தாக்குபவர்கள் தட்டச்சுப் பிழைகள் மூலம் பல ஒத்த தோற்றமுடைய டொமைன்களைப் பதிவுசெய்துள்ளனர் மற்றும் சந்தேகத்திற்கு இடமில்லாத பார்வையாளர்களைக் கவர குறிப்பிட்ட முக்கிய வார்த்தைகளைக் குறிவைத்து தேடல் முடிவுகளில் இந்தத் தளங்களை அதிகரிக்க Google விளம்பரங்களைப் பயன்படுத்துகின்றனர்.
நவம்பர் 2023 மற்றும் மார்ச் 2024 க்கு இடையில், மேம்பட்ட IP ஸ்கேனர், கோபமான IP ஸ்கேனர், IP ஸ்கேனர் PRTG மற்றும் ManageEngine போன்ற பல்வேறு போர்ட் ஸ்கேனிங் மற்றும் IT மேலாண்மை மென்பொருளைப் போல் நடித்து சுமார் 45 டொமைன்கள் பதிவு செய்யப்பட்டன.
போலி இணையதளங்கள் மூலம் தீம்பொருளை விநியோகிக்க தவறான விளம்பர யுக்திகள் பயன்படுத்தப்பட்டாலும், சிக்கலான விண்டோஸ் பின்கதவை பரப்புவதற்கு இதுபோன்ற ஒரு முறை பயன்படுத்தப்பட்டதற்கான முதல் நிகழ்வை இந்த சம்பவம் குறிக்கிறது.
பொருளடக்கம்
அச்சுறுத்தும் நடிகர்கள் சக்திவாய்ந்த பின்கதவு மால்வேரை வழங்குவதற்காக போலி இணையதளங்கள் மூலம் பயனர்களை கவர்ந்திழுக்கிறார்கள்
இந்தக் கருவிகளைத் தேடும் பயனர்கள் ஜாவாஸ்கிரிப்ட் குறியீட்டைக் கொண்ட மோசடி இணையதளங்களுக்கு அனுப்பப்படுவார்கள், இது பதிவிறக்க பொத்தானைக் கிளிக் செய்யும் போது 'Advanced-ip-scanner.zip' என்ற தீங்கிழைக்கும் கோப்பைப் பதிவிறக்கத் தூண்டுகிறது.
ZIP காப்பகத்திற்குள், இரண்டு கோப்புகள் உள்ளன: 'IVIEWERS.dll' மற்றும் 'Advanced-ip-scanner.exe.' பிந்தையது 'IVIEWERS.dll' ஐ ஏற்றுவதற்கும் தொற்று செயல்முறையைத் தொடங்குவதற்கும் DLL பக்க ஏற்றுதலைப் பயன்படுத்துகிறது.
டிஎல்எல் கோப்பு உட்பொதிக்கப்பட்ட ஷெல்கோடை 'அட்வான்ஸ்டு-ஐபி-ஸ்கேனர்.எக்ஸ்' செயல்முறைக்குள் புகுத்துகிறது. பின்னர், உட்செலுத்தப்பட்ட EXE கோப்பு இரண்டு கூடுதல் கோப்புகளை திறக்கிறது - 'OneDrive.exe' மற்றும் 'Secur32.dll'.
முறையான கையொப்பமிடப்பட்ட மைக்ரோசாப்ட் பைனரி 'OneDrive.exe' ஆனது 'Secur32.dll' ஐ ஏற்றுவதற்கும் ஷெல்கோடு பின்கதவை இயக்குவதற்கும் பயன்படுத்தப்படுகிறது. முன்னதாக, திட்டமிடப்பட்ட பணியை உருவாக்கி மைக்ரோசாஃப்ட் டிஃபென்டர் ஆண்டிவைரஸை முடக்குவதன் மூலம் மால்வேர் ஹோஸ்டில் நிலைத்தன்மையை நிறுவுகிறது.
MadMxShell பின்கதவு பல அச்சுறுத்தும் செயல்களை செய்கிறது
கட்டளை மற்றும் கட்டுப்பாடு (C2) க்கான DNS MX வினவல்களின் பயன்பாட்டிற்காக பெயரிடப்பட்டது, MadMxShell பின்கதவு கணினித் தரவைச் சேகரிக்கவும், cmd.exe வழியாக கட்டளைகளை இயக்கவும் மற்றும் கோப்புகளைப் படித்தல், எழுதுதல் மற்றும் நீக்குதல் போன்ற அடிப்படை கோப்பு செயல்பாடுகளை மேற்கொள்ளவும் வடிவமைக்கப்பட்டுள்ளது.
அதன் C2 சேவையகத்துடன் ('litterbolo.com') தொடர்பு கொள்ள, இது DNS மெயில் எக்ஸ்சேஞ்ச் (MX) வினவல் பாக்கெட்டில் உள்ள முழுத் தகுதியான டொமைன் பெயரின் (FQDN) துணை டொமைன்களுக்குள் தரவை குறியீடாக்குகிறது மற்றும் பதில் பாக்கெட்டுகளில் உட்பொதிக்கப்பட்ட கட்டளைகளைப் புரிந்துகொள்ளும்.
C2 தகவல்தொடர்புக்கான பல-நிலை DLL பக்க-ஏற்றுதல் மற்றும் DNS சுரங்கப்பாதை போன்ற தந்திரோபாயங்களைப் பயன்படுத்துவதன் மூலம், பின்கதவு எண்ட்பாயிண்ட் மற்றும் நெட்வொர்க் பாதுகாப்பு நடவடிக்கைகளைத் தவிர்ப்பதை நோக்கமாகக் கொண்டுள்ளது. கூடுதலாக, இது நினைவக பகுப்பாய்வைத் தடுக்க மற்றும் தடயவியல் பாதுகாப்பு நடவடிக்கைகளுக்கு இடையூறு விளைவிப்பதற்கு எதிர்ப்புத் திணிப்பு போன்ற ஏய்ப்பு முறைகளைப் பயன்படுத்துகிறது.
MadMxShell கதவுக்குப் பின்னால் உள்ள அச்சுறுத்தல் நடிகர் அறியப்படாத இலக்குகளைக் கொண்டுள்ளார்
தீம்பொருள் ஆபரேட்டர்களின் தோற்றம் அல்லது நோக்கங்கள் குறித்து தற்போது உறுதியான தடயங்கள் எதுவும் இல்லை. இருப்பினும், குற்றவியல் நிலத்தடி மன்றங்களில் அவர்கள் உருவாக்கிய இரண்டு கணக்குகளை ஆராய்ச்சியாளர்கள் கண்டுபிடித்துள்ளனர். குறிப்பாக, இந்த நடிகர்கள் ஜூன் 2023 வரையில் வரம்பற்ற Google AdSense த்ரெஷோல்ட் கணக்குகளை நிறுவுவதற்கான வழிமுறைகளை வழங்கும் விவாதங்களில் கலந்துகொள்வதைக் காண முடிந்தது, இது நீடித்த தவறான விளம்பரப் பிரச்சாரத்தைத் தொடங்குவதில் மிகுந்த ஆர்வத்தை பரிந்துரைக்கிறது.
Google Ads வரம்புகளைப் பயன்படுத்துவதற்கான கணக்குகள் மற்றும் உத்திகள் பொதுவாக BlackHat மன்றங்களில் பரிமாறிக்கொள்ளப்படுகின்றன. இந்த முறைகள், அச்சுறுத்தல் நடிகர்களுக்கு, கூகுள் விளம்பரப் பிரச்சாரங்களை உடனடியாகப் பணம் செலுத்தாமல், அவர்களின் பிரச்சாரங்களின் காலத்தை திறம்பட நீட்டிக்க, வரவுகளைக் குவிப்பதற்கான வழியை வழங்குகிறது. போதுமான உயர் வரம்பு அச்சுறுத்தல் நடிகர்களுக்கு அவர்களின் விளம்பர பிரச்சாரங்களை நீண்ட காலத்திற்குத் தக்கவைக்க உதவுகிறது.
