MadMxShelli tagauks
Google'i pahatahtlik skeem kasutab veebisaitide rühma, mis jäljendavad seaduslikku IP-skanneri tarkvara, et levitada äsja avastatud tagaust nimega MadMxShell. Ründajad on kirjapanemise kaudu registreerinud palju sarnase välimusega domeene ja kasutavad Google Adsi, et neid saite otsingutulemustes tõsta, sihtides pahaaimamatute külastajate meelitamiseks konkreetseid märksõnu.
Ajavahemikus 2023. aasta novembrist kuni 2024. aasta märtsini registreeriti umbes 45 domeeni, mis esinesid mitmesuguste pordi skaneerimise ja IT-haldustarkvarana, nagu Advanced IP Scanner, Angry IP Scanner, IP scanner PRTG ja ManageEngine.
Kuigi pahavara levitamiseks võltsveebisaitide kaudu on pahavara levitamiseks varem kasutatud pahatahtlikku taktikat, on see juhtum esimene juhtum, kus sellist meetodit kasutatakse keeruka Windowsi tagaukse levitamiseks.
Sisukord
Ähvardusnäitlejad meelitavad kasutajaid võltsveebisaitide abil levitama võimsat tagaukse pahavara
Neid tööriistu otsivad kasutajad suunatakse petturlikele veebisaitidele, mis sisaldavad JavaScripti koodi, mis käivitab allalaadimisnupul klõpsamisel pahatahtliku faili nimega Advanced-ip-scanner.zip allalaadimise.
ZIP-arhiivis on kaks faili: „IVIEWERS.dll” ja „Advanced-ip-scanner.exe”. Viimane kasutab faili „IVIEWERS.dll” laadimiseks ja nakatumisprotsessi algatamiseks DLL-i külglaadimist.
DLL-fail sisestab manustatud shellkoodi 'Advanced-ip-scanner.exe' protsessi, kasutades tehnikat, mida nimetatakse protsessi õõnestamiseks. Seejärel pakib sisestatud EXE-fail lahti kaks täiendavat faili – 'OneDrive.exe' ja 'Secur32.dll'.
Legitiimset allkirjastatud Microsofti binaari 'OneDrive.exe' kasutatakse faili 'Secur32.dll' laadimiseks ja shellkoodi tagaukse käivitamiseks. Eelnevalt loob pahavara hostis püsivuse, luues ajastatud ülesande ja keelates Microsoft Defender Antivirus.
MadMxShelli tagauks teeb arvukalt ähvardavaid toiminguid
MadMxShelli tagauks on nime saanud selle järgi, et see kasutab käskude ja juhtimise (C2) jaoks DNS-i MX-päringuid. See on loodud süsteemiandmete kogumiseks, cmd.exe kaudu käskude täitmiseks ja põhiliste failitoimingute tegemiseks, nagu failide lugemine, kirjutamine ja kustutamine.
C2-serveriga ('litterbolo.com') suhtlemiseks kodeerib see täielikult kvalifitseeritud domeeninime (FQDN) alamdomeenides olevad andmed DNS-postivahetuse (MX) päringupakettides ja dešifreerib vastusepakettidesse manustatud käsud.
Kasutades selliseid taktikaid nagu mitmeastmeline DLL-i külglaadimine ja DNS-tunneldamine C2-suhtluse jaoks, on tagaukse eesmärk vältida lõpp-punkti ja võrgu turvameetmeid. Lisaks kasutab see mäluanalüüsi nurjamiseks ja kohtuekspertiisi turvameetmete takistamiseks kõrvalehoidmise meetodeid, nagu dumpinguvastane võitlus.
MadMxShelli tagaukse taga oleval ohunäitlejal on tundmatud eesmärgid
Pahavaraoperaatorite päritolu või kavatsuste kohta pole praegu kindlaid vihjeid. Teadlased on aga avastanud kaks nende poolt kriminaalsetes põrandaalustes foorumites loodud kontot. Täpsemalt on neid osalejaid juba 2023. aasta juunis täheldatud osalemas aruteludes, mis pakuvad meetodeid piiramatute Google AdSense'i lävekontode loomiseks, mis viitab suurele huvile pideva pahatahtliku reklaamikampaania käivitamise vastu.
Google Adsi lävede kasutamise kontosid ja strateegiaid vahetatakse tavaliselt BlackHati foorumites. Need meetodid võimaldavad sageli ohus osalejatel koguda krediiti Google Adsi kampaaniate käitamiseks ilma kohese makseta, pikendades tõhusalt nende kampaaniate kestust. Piisavalt kõrge lävi võimaldab ohus osalejatel oma reklaamikampaaniaid pikema aja jooksul jätkata.
