Бекдор MadMxShell
Схема зловмисної реклами Google використовує групу веб-сайтів, які імітують законне програмне забезпечення IP-сканера, щоб розповсюджувати нещодавно виявлений бекдор під назвою MadMxShell. Зловмисники зареєстрували численні схожі на вигляд домени через typosquatting і використовують Google Ads, щоб підняти ці сайти в результатах пошуку, націлюючись на певні ключові слова, щоб залучити нічого не підозрюючих відвідувачів.
У період з листопада 2023 року по березень 2024 року було зареєстровано близько 45 доменів, які видавали себе за різноманітне програмне забезпечення для сканування портів і управління ІТ, як-от Advanced IP Scanner, Angry IP Scanner, IP-сканер PRTG і ManageEngine.
Хоча тактики зловмисної реклами використовувалися раніше для розповсюдження зловмисного програмного забезпечення через підроблені веб-сайти, цей інцидент є першим випадком використання такого методу для поширення складного бекдору Windows.
Зміст
Зловмисники заманюють користувачів за допомогою фальшивих веб-сайтів, щоб розповсюдити потужне шкідливе програмне забезпечення для бекдорів
Користувачі, які шукають ці інструменти, спрямовуються на шахрайські веб-сайти, що містять код JavaScript, який ініціює завантаження шкідливого файлу під назвою "Advanced-ip-scanner.zip", коли натискається кнопка завантаження.
У ZIP-архіві є два файли: "IVIEWERS.dll" і "Advanced-ip-scanner.exe". Останній використовує бічне завантаження DLL для завантаження IVIEWERS.dll та ініціювання процесу зараження.
Файл DLL вставляє вбудований шелл-код у процес «Advanced-ip-scanner.exe», використовуючи техніку, яка називається процес hollowing. Після цього введений файл EXE розпаковує два додаткові файли – OneDrive.exe та Secur32.dll.
Законний підписаний двійковий файл Microsoft «OneDrive.exe» використовується для завантаження «Secur32.dll» і запуску бекдору коду оболонки. Попередньо зловмисне програмне забезпечення встановлює постійність на хості, створюючи заплановане завдання та вимикаючи антивірус Microsoft Defender.
Бекдор MadMxShell виконує численні загрозливі дії
Бекдор MadMxShell, названий за використання запитів DNS MX для Command-and-Control (C2), розроблений для збору системних даних, виконання команд через cmd.exe та виконання основних операцій з файлами, таких як читання, запис і видалення файлів.
Для зв’язку зі своїм сервером C2 (litterbolo.com) він кодує дані в субдоменах повного доменного імені (FQDN) у пакетах запитів обміну поштою DNS (MX) і розшифровує команди, вбудовані в пакети відповідей.
Застосовуючи тактику, як-от багатоетапне бокове завантаження DLL та DNS-тунелювання для зв’язку C2, бекдор намагається уникнути заходів безпеки кінцевої точки та мережі. Крім того, він використовує такі методи ухилення, як антидемпінг, щоб перешкодити аналізу пам’яті та запобігти судово-медичним заходам безпеки.
Загрозливий актор, що стоїть за бекдором MadMxShell, має невідомі цілі
Наразі немає остаточних відомостей про походження чи наміри операторів шкідливих програм. Однак дослідники виявили два акаунти, створені ними на форумах кримінального підпілля. Зокрема, у червні 2023 року було помічено, що ці актори брали участь у дискусіях, які пропонували методи створення необмежених порогових облікових записів Google AdSense, що свідчить про великий інтерес до запуску тривалої кампанії шкідливої реклами.
Облікові записи та стратегії використання порогових значень Google Ads зазвичай обмінюються на форумах BlackHat. Ці методи часто дають можливість зловмисникам накопичувати кредити для проведення кампаній Google Ads без негайної оплати, фактично подовжуючи тривалість їхніх кампаній. Досить високий поріг дозволяє суб’єктам загрози підтримувати свої рекламні кампанії протягом тривалого періоду.
