MadMxShell Backdoor
Googlen haittaohjelma käyttää joukkoa verkkosivustoja, jotka jäljittelevät laillista IP-skanneriohjelmistoa äskettäin löydetyn MadMxShellin takaoven levittämiseen. Hyökkääjät ovat rekisteröineet lukuisia samannäköisiä verkkotunnuksia kirjoitusvirheiden avulla ja käyttävät Google Adsia parantaakseen näitä sivustoja hakutuloksissa ja kohdistavat tiettyihin avainsanoihin houkutellakseen hyväuskoisia vierailijoita.
Marraskuun 2023 ja maaliskuun 2024 välisenä aikana rekisteröitiin noin 45 verkkotunnusta, jotka teeskentelivät olevan erilaisia porttiskannaus- ja IT-hallintaohjelmistoja, kuten Advanced IP Scanner, Angry IP Scanner, IP Scanner PRTG ja ManageEngine.
Vaikka haittaohjelmien levittämiseen väärennettyjen verkkosivustojen kautta on aiemminkin käytetty haittaohjelmia, tämä tapaus on ensimmäinen tapaus, jossa tällaista menetelmää on käytetty monimutkaisen Windowsin takaoven levittämiseen.
Sisällysluettelo
Uhkatoimijat houkuttelevat käyttäjiä väärennetyillä verkkosivustoilla toimittamaan tehokkaita takaoven haittaohjelmia
Näitä työkaluja etsivät käyttäjät ohjataan petollisille verkkosivustoille, jotka sisältävät JavaScript-koodin, joka käynnistää Advanced-ip-scanner.zip-nimisen haitallisen tiedoston latauksen, kun latauspainiketta napsautetaan.
ZIP-arkistossa on kaksi tiedostoa: "IVIEWERS.dll" ja "Advanced-ip-scanner.exe". Jälkimmäinen käyttää DLL-sivulatausta IVIEWERS.dll-tiedoston lataamiseen ja tartuntaprosessin käynnistämiseen.
DLL-tiedosto syöttää upotetun shell-koodin Advanced-ip-scanner.exe-prosessiin käyttämällä prosessin hollowing-nimistä tekniikkaa. Myöhemmin lisätty EXE-tiedosto purkaa kaksi lisätiedostoa – OneDrive.exe ja Secur32.dll.
Laillista allekirjoitettua Microsoftin binaaritiedostoa "OneDrive.exe" käytetään hyväksi lataamaan "Secur32.dll" ja suorittamaan shellcode-takaovi. Haittaohjelma varmistaa etukäteen isännän pysyvyyden luomalla ajoitetun tehtävän ja poistamalla Microsoft Defender Antivirus käytöstä.
MadMxShell Backdoor suorittaa lukuisia uhkaavia toimintoja
MadMxShell-takaovi on nimetty DNS MX -kyselyjen käytöstä Command-and-Control (C2) -käyttöön. Se on suunniteltu keräämään järjestelmätietoja, suorittamaan komentoja cmd.exe-tiedoston kautta ja suorittamaan perustiedostotoimintoja, kuten tiedostojen lukemista, kirjoittamista ja poistamista.
Kommunikoidakseen C2-palvelimensa ('litterbolo.com') kanssa se koodaa tietoja Fully Qualified Domain Name (FQDN) -aliverkkotunnuksista DNS-postinvaihdon (MX) kyselypaketteihin ja purkaa vastauspaketteihin upotetut komennot.
Käyttämällä taktiikoita, kuten monivaiheista DLL-sivulatausta ja DNS-tunnelointia C2-viestinnässä, takaoven tarkoituksena on välttää päätepisteiden ja verkon turvatoimia. Lisäksi se käyttää veronkiertomenetelmiä, kuten polkumyynnin estämistä, estääkseen muistianalyysin ja estääkseen rikosteknisiä turvatoimia.
MadMxShell-takaoven takana olevalla uhkanäyttelijällä on tuntemattomia tavoitteita
Tällä hetkellä ei ole olemassa lopullisia vihjeitä haittaohjelmaoperaattoreiden alkuperästä tai aikomuksista. Tutkijat ovat kuitenkin löytäneet kaksi heidän luomaansa tiliä rikollisilla maanalaisilla foorumeilla. Erityisesti näiden toimijoiden on havaittu osallistuvan keskusteluihin, joissa tarjotaan menetelmiä rajoittamattomien Google AdSense -rajatilien perustamiseen jo kesäkuussa 2023, mikä viittaa vahvaan kiinnostukseen jatkuvan haitallisen kampanjan käynnistämiseen.
Google Ads -kynnysten hyödyntämiseen tarkoitettuja tilejä ja strategioita vaihdetaan usein BlackHat-foorumeilla. Nämä menetelmät tarjoavat usein uhantekijöille keinon kerätä hyvityksiä Google Ads -kampanjoiden toteuttamiseen ilman välitöntä maksua, mikä pidentää tehokkaasti kampanjoidensa kestoa. Riittävän korkea kynnys antaa uhkatoimijoille mahdollisuuden jatkaa mainoskampanjoitaan pidempään.
