Porta posterior MadMxShell

Un esquema de publicitat malintencionada de Google utilitza un grup de llocs web que imiten un programari d'escàner IP legítim per distribuir una porta posterior descoberta recentment anomenada MadMxShell. Els atacants han registrat nombrosos dominis d'aspecte similar a través de la composició ortogràfica i estan utilitzant Google Ads per augmentar aquests llocs als resultats de la cerca, orientant-se a paraules clau específiques per atraure visitants desprevinguts.

Entre novembre de 2023 i març de 2024, es van registrar al voltant de 45 dominis, fent-se passar per diversos programaris d'exploració de ports i gestió de TI com Advanced IP Scanner, Angry IP Scanner, IP scanner PRTG i ManageEngine.

Tot i que abans s'han utilitzat tàctiques de publicitat maliciós per distribuir programari maliciós a través de llocs web falsos, aquest incident marca la primera instància d'aquest mètode que s'utilitza per difondre una porta posterior complexa de Windows.

Els actors d'amenaça atrauen els usuaris amb llocs web falsos per oferir un programari maliciós potent de porta posterior

Els usuaris que cerquin aquestes eines es dirigeixen a llocs web fraudulents que contenen codi JavaScript que desencadena la descàrrega d'un fitxer maliciós anomenat "Advanced-ip-scanner.zip" quan es fa clic al botó de descàrrega.

Dins de l'arxiu ZIP, hi ha dos fitxers: "IVIEWERS.dll" i "Advanced-ip-scanner.exe". Aquest últim utilitza la càrrega lateral de DLL per carregar "IVIEWERS.dll" i iniciar el procés d'infecció.

El fitxer DLL injecta codi incrustat al procés "Advanced-ip-scanner.exe" mitjançant una tècnica anomenada process hollowing. Després, el fitxer EXE injectat desempaqueta dos fitxers addicionals: "OneDrive.exe" i "Secur32.dll".

El binari legítim signat de Microsoft "OneDrive.exe" s'explota per carregar "Secur32.dll" i executar la porta posterior del codi shell. Abans, el programari maliciós estableix la persistència a l'amfitrió creant una tasca programada i desactivant l'antivirus Microsoft Defender.

La porta posterior MadMxShell realitza nombroses accions amenaçadores

Anomenada per la seva utilització de consultes DNS MX per a Command-and-Control (C2), la porta posterior MadMxShell està dissenyada per recopilar dades del sistema, executar ordres mitjançant cmd.exe i dur a terme operacions fonamentals de fitxers com llegir, escriure i suprimir fitxers.

Per comunicar-se amb el seu servidor C2 ('litterbolo.com'), codifica dades dins dels subdominis del nom de domini totalment qualificat (FQDN) en paquets de consulta d'intercanvi de correu DNS (MX) i desxifra ordres incrustades en paquets de resposta.

Utilitzant tàctiques com ara la càrrega lateral de DLL en diverses etapes i el túnel DNS per a la comunicació C2, la porta posterior té com a objectiu eludir les mesures de seguretat de la xarxa i del punt final. A més, utilitza mètodes d'evasió com l'antidumping per frustrar l'anàlisi de memòria i impedir les mesures de seguretat forense.

L'actor d'amenaça darrere de la porta del darrere MadMxShell té objectius desconeguts

Actualment no hi ha pistes definitives sobre l'origen o les intencions dels operadors de programari maliciós. Tanmateix, els investigadors han descobert dos comptes creats per ells en fòrums criminals clandestins. Concretament, s'ha observat que aquests actors participaven en debats que ofereixen mètodes per establir comptes de llindar d'AdSense il·limitats de Google des del juny de 2023, cosa que suggereix un gran interès en llançar una campanya de publicitat maliciosa sostinguda.

Els comptes i les estratègies per explotar els llindars de Google Ads s'intercanvien habitualment als fòrums de BlackHat. Sovint, aquests mètodes ofereixen un mitjà perquè els actors de les amenaces acumulin crèdits per executar campanyes de Google Ads sense pagament immediat, i allargant efectivament la durada de les seves campanyes. Un llindar prou alt permet als actors de les amenaces mantenir les seves campanyes publicitàries durant un període prolongat.