MadMxShell Bagdør
En Google-malvertising-ordning bruger en gruppe websteder, der efterligner legitim IP-scannersoftware til at distribuere en nyopdaget bagdør kaldet MadMxShell. Angriberne har registreret adskillige lignende domæner gennem typosquatting og bruger Google Ads til at booste disse websteder i søgeresultaterne og målrette specifikke søgeord for at tiltrække intetanende besøgende.
Mellem november 2023 og marts 2024 blev omkring 45 domæner registreret, der udgav sig for at være forskellige portscannings- og it-administrationssoftware som Advanced IP Scanner, Angry IP Scanner, IP-scanner PRTG og ManageEngine.
Mens malvertising-taktik er blevet brugt før til at distribuere malware gennem falske websteder, markerer denne hændelse det første tilfælde af en sådan metode, der bliver brugt til at sprede en kompleks Windows-bagdør.
Indholdsfortegnelse
Trusselskuespillere lokker brugere med falske websteder til at levere potent bagdørsmalware
Brugere, der søger efter disse værktøjer, ledes til svigagtige websteder, der indeholder JavaScript-kode, der udløser download af en ondsindet fil med navnet 'Advanced-ip-scanner.zip', når der klikkes på downloadknappen.
I ZIP-arkivet er der to filer: 'IVIEWERS.dll' og 'Advanced-ip-scanner.exe.' Sidstnævnte bruger DLL side-loading til at indlæse 'IVIEWERS.dll' og starte infektionsprocessen.
DLL-filen injicerer indlejret shellcode i 'Advanced-ip-scanner.exe'-processen ved hjælp af en teknik kaldet procesudhulning. Bagefter udpakker den indsprøjtede EXE-fil to yderligere filer – 'OneDrive.exe' og 'Secur32.dll'.
Den legitime signerede Microsoft binære 'OneDrive.exe' udnyttes til at indlæse 'Secur32.dll' og udføre shellcode-bagdøren. På forhånd etablerer malwaren persistens på værten ved at oprette en planlagt opgave og deaktivere Microsoft Defender Antivirus.
MadMxShell-bagdøren udfører talrige truende handlinger
MadMxShell-bagdøren er opkaldt efter sin brug af DNS MX-forespørgsler til Command-and-Control (C2), og er konstrueret til at indsamle systemdata, udføre kommandoer via cmd.exe og udføre grundlæggende filoperationer som at læse, skrive og slette filer.
For at kommunikere med sin C2-server ('litterbolo.com') koder den data inden for underdomænerne af FQDN (Fuldt Qualified Domain Name) i DNS-mail exchange (MX) forespørgselspakker og dechifrerer kommandoer indlejret i svarpakker.
Ved at anvende taktikker såsom sideindlæsning af DLL i flere trin og DNS-tunneling til C2-kommunikation, sigter bagdøren på at undgå slutpunkt- og netværkssikkerhedsforanstaltninger. Derudover anvender den unddragelsesmetoder såsom antidumping for at modarbejde hukommelsesanalyse og hindre retsmedicinske sikkerhedsforanstaltninger.
Trusselskuespilleren bag MadMxShell-bagdøren har ukendte mål
Der er i øjeblikket ingen endegyldige fingerpeg om oprindelsen eller hensigterne for malware-operatørerne. Forskere har dog afsløret to konti skabt af dem på kriminelle undergrundsfora. Specifikt er disse aktører blevet observeret deltage i diskussioner, der tilbyder metoder til at etablere ubegrænsede Google AdSense-tærskelkonti så langt tilbage som i juni 2023, hvilket tyder på en stor interesse i at lancere en vedvarende malvertising-kampagne.
Konti og strategier til udnyttelse af Google Ads-tærskler udveksles ofte på BlackHat-fora. Disse metoder giver ofte trusselsaktører mulighed for at akkumulere kreditter for at køre Google Ads-kampagner uden øjeblikkelig betaling, hvilket effektivt forlænger varigheden af deres kampagner. En tilstrækkelig høj tærskel gør det muligt for trusselsaktører at opretholde deres annoncekampagner i en længere periode.
