MadMxShell مستتر

يستخدم مخطط الإعلانات الخبيثة من Google مجموعة من مواقع الويب التي تحاكي برنامج فحص IP الشرعي لتوزيع باب خلفي تم اكتشافه حديثًا يسمى MadMxShell. لقد سجل المهاجمون العديد من النطاقات ذات المظهر المتشابه من خلال عملية typosquatting ويستخدمون إعلانات Google لتعزيز هذه المواقع في نتائج البحث، واستهداف كلمات رئيسية محددة لجذب الزوار المطمئنين.

بين نوفمبر 2023 ومارس 2024، تم تسجيل حوالي 45 نطاقًا، تتظاهر بأنها برامج مختلفة لمسح المنافذ وإدارة تكنولوجيا المعلومات مثل Advanced IP Scanner وAngry IP Scanner وIP Scanner PRTG وManageEngine.

على الرغم من استخدام أساليب الإعلانات الضارة من قبل لتوزيع البرامج الضارة عبر مواقع الويب المزيفة، إلا أن هذا الحادث يمثل أول مثال على استخدام مثل هذه الطريقة لنشر باب خلفي معقد لنظام Windows.

يقوم ممثلو التهديد بإغراء المستخدمين بمواقع الويب المزيفة لتقديم برامج ضارة قوية في الباب الخلفي

يتم توجيه المستخدمين الذين يبحثون عن هذه الأدوات إلى مواقع الويب الاحتيالية التي تحتوي على كود JavaScript الذي يؤدي إلى تنزيل ملف ضار يسمى "Advanced-ip-scanner.zip" عند النقر فوق زر التنزيل.

يوجد داخل أرشيف ZIP ملفان: "IVIEWERS.dll" و"Advanced-ip-scanner.exe". يستخدم الأخير التحميل الجانبي لـ DLL لتحميل "IVIEWERS.dll" وبدء عملية الإصابة.

يقوم ملف DLL بإدخال كود القشرة المضمن في عملية "Advanced-ip-scanner.exe" باستخدام تقنية تسمى عملية التجويف. بعد ذلك، يقوم ملف EXE الذي تم إدخاله بفك ضغط ملفين إضافيين – "OneDrive.exe" و"Secur32.dll".

يتم استغلال ملف Microsoft الثنائي الشرعي "OneDrive.exe" لتحميل "Secur32.dll" وتنفيذ الباب الخلفي لكود القشرة. مسبقًا، تقوم البرامج الضارة بتثبيت الثبات على المضيف عن طريق إنشاء مهمة مجدولة وتعطيل برنامج الحماية من الفيروسات لـ Microsoft Defender.

ينفذ الباب الخلفي MadMxShell العديد من الإجراءات التهديدية

تم تسميته لاستخدامه لاستعلامات DNS MX للأوامر والتحكم (C2)، وقد تم تصميم الباب الخلفي MadMxShell لجمع بيانات النظام وتنفيذ الأوامر عبر cmd.exe وإجراء عمليات الملفات الأساسية مثل القراءة والكتابة وحذف الملفات.

للتواصل مع خادم C2 الخاص به ('litterbolo.com')، يقوم بتشفير البيانات ضمن النطاقات الفرعية لاسم المجال المؤهل بالكامل (FQDN) في حزم استعلام تبادل بريد DNS (MX) وفك تشفير الأوامر المضمنة في حزم الاستجابة.

باستخدام تكتيكات مثل التحميل الجانبي لـ DLL متعدد المراحل ونفق DNS لاتصالات C2، يهدف الباب الخلفي إلى التملص من إجراءات أمان نقطة النهاية والشبكة. بالإضافة إلى ذلك، فإنها تستخدم أساليب التهرب مثل مكافحة الإغراق لإحباط تحليل الذاكرة وإعاقة التدابير الأمنية الجنائية.

صاحب التهديد الذي يقف وراء MadMxShell Backdoor له أهداف غير معروفة

لا توجد حاليًا أي أدلة محددة فيما يتعلق بأصل أو نوايا مشغلي البرامج الضارة. ومع ذلك، كشف الباحثون عن حسابين أنشأهما هؤلاء الأشخاص في منتديات إجرامية سرية. على وجه التحديد، لوحظت مشاركة هذه الجهات الفاعلة في المناقشات التي تقدم طرقًا لإنشاء حسابات حدية غير محدودة لـ Google AdSense يعود تاريخها إلى يونيو 2023، مما يشير إلى اهتمام كبير بإطلاق حملة إعلانية ضارة مستدامة.

يتم عادةً تبادل الحسابات والاستراتيجيات الخاصة باستغلال حدود إعلانات Google في منتديات BlackHat. غالبًا ما توفر هذه الأساليب وسيلة للجهات الفاعلة في مجال التهديد لتجميع أرصدة لتشغيل حملات إعلانات Google دون دفع فوري، مما يؤدي بشكل فعال إلى إطالة مدة حملاتهم. تتيح العتبة العالية بما فيه الكفاية للجهات التهديدية مواصلة حملاتها الإعلانية لفترة ممتدة.