MadMxShell אחורית
ערכת פרסום רעה של גוגל משתמשת בקבוצת אתרים המחקה תוכנת סורק IP לגיטימית כדי להפיץ דלת אחורית שהתגלתה לאחרונה בשם MadMxShell. התוקפים רשמו מספר רב של דומיינים בעלי מראה דומה באמצעות שגיאות הקלדה ומשתמשים ב-Google Ads כדי לשפר אתרים אלו בתוצאות החיפוש, תוך מיקוד למילות מפתח ספציפיות כדי למשוך מבקרים תמימים.
בין נובמבר 2023 למרץ 2024, נרשמו כ-45 דומיינים, שהתיימרו להיות תוכנות שונות לסריקת יציאות וניהול IT כמו Advanced IP Scanner, Angry IP Scanner, סורק IP PRTG ו-ManageEngine.
אמנם נעשה שימוש בעבר בטקטיקות של פרסום זדוני להפצת תוכנות זדוניות דרך אתרים מזויפים, אך תקרית זו מסמנת את המקרה הראשון של שימוש בשיטה כזו כדי להפיץ דלת אחורית מורכבת של Windows.
תוכן העניינים
שחקנים מאיימים מפתים משתמשים עם אתרים מזויפים כדי לספק תוכנה זדונית חזקה לדלת אחורית
משתמשים שמחפשים את הכלים האלה מופנים לאתרי הונאה המכילים קוד JavaScript שמפעיל הורדה של קובץ זדוני בשם 'Advanced-ip-scanner.zip' כאשר לוחצים על כפתור ההורדה.
בתוך ארכיון ZIP, ישנם שני קבצים: 'IVIEWERS.dll' ו-'Advanced-ip-scanner.exe.' האחרון משתמש בטעינת צד של DLL כדי לטעון את 'IVIEWERS.dll' ולהתחיל את תהליך ההדבקה.
קובץ ה-DLL מחדיר קוד מעטפת מוטבע לתהליך 'Advanced-ip-scanner.exe' באמצעות טכניקה הנקראת תהליך חלול. לאחר מכן, קובץ ה-EXE המוזרק פורק שני קבצים נוספים - 'OneDrive.exe' ו-'Secur32.dll'.
הקובץ הבינארי החתום הלגיטימי של Microsoft 'OneDrive.exe' מנוצל כדי לטעון את 'Secur32.dll' ולהפעיל את הדלת האחורית של קוד המעטפת. מראש, התוכנה הזדונית מייצרת התמדה על המארח על ידי יצירת משימה מתוזמנת והשבתת Microsoft Defender Antivirus.
הדלת האחורית של MadMxShell מבצעת פעולות מאיימות רבות
הדלת האחורית של MadMxShell, על שם השימוש שלה בשאילתות DNS MX עבור Command-and-Control (C2), מתוכננת לאסוף נתוני מערכת, לבצע פקודות באמצעות cmd.exe ולבצע פעולות קבצים בסיסיות כמו קריאה, כתיבה ומחיקה של קבצים.
כדי לתקשר עם שרת ה-C2 שלו ('litterbolo.com'), הוא מקודד נתונים בתוך תת-הדומיינים של שם הדומיין המלא (FQDN) במנות שאילתות של חילופי דואר DNS (MX) ומפענח פקודות המוטמעות בחבילות תגובה.
תוך שימוש בטקטיקות כמו טעינת DLL רב-שלבית ומנהור DNS לתקשורת C2, הדלת האחורית שואפת לחמוק מאמצעי אבטחת נקודות קצה ורשת. בנוסף, היא משתמשת בשיטות התחמקות כמו אנטי-הטלה כדי לסכל ניתוח זיכרון ולעכב אמצעי אבטחה משפטיים.
לשחקן האיום מאחורי הדלת האחורית של MadMxShell יש מטרות לא ידועות
כרגע אין רמזים סופיים לגבי המקור או הכוונות של מפעילי התוכנה הזדונית. עם זאת, חוקרים חשפו שני חשבונות שנוצרו על ידם בפורומים מחתרתיים פליליים. באופן ספציפי, שחקנים אלו נצפו כשהם משתתפים בדיונים המציעים שיטות להקמת חשבונות סף בלתי מוגבלים של Google AdSense עוד ביוני 2023, מה שמצביע על עניין רב בהשקת קמפיין פרסום ממושך.
חשבונות ואסטרטגיות לניצול ספי Google Ads מוחלפים בדרך כלל בפורומים של BlackHat. שיטות אלו מספקות לעתים קרובות אמצעי עבור גורמי איומים לצבור זיכויים עבור הפעלת קמפיינים של Google Ads ללא תשלום מיידי, ובכך למעשה מאריכים את משך הקמפיינים שלהם. סף גבוה מספיק מאפשר לשחקני איומים לקיים את מסעות הפרסום שלהם לתקופה ממושכת.
