MadMxShell बैकडोर

Google की एक दुर्भावनापूर्ण योजना, MadMxShell नामक एक नए खोजे गए बैकडोर को वितरित करने के लिए वैध IP स्कैनर सॉफ़्टवेयर की नकल करने वाली वेबसाइटों के एक समूह का उपयोग कर रही है। हमलावरों ने टाइपोस्क्वैटिंग के माध्यम से कई समान दिखने वाले डोमेन पंजीकृत किए हैं और खोज परिणामों में इन साइटों को बढ़ावा देने के लिए Google Ads का उपयोग कर रहे हैं, जो अनजान आगंतुकों को आकर्षित करने के लिए विशिष्ट कीवर्ड को लक्षित करते हैं।

नवंबर 2023 और मार्च 2024 के बीच, लगभग 45 डोमेन पंजीकृत किए गए, जो एडवांस्ड आईपी स्कैनर, एंग्री आईपी स्कैनर, आईपी स्कैनर पीआरटीजी और मैनेजइंजन जैसे विभिन्न पोर्ट स्कैनिंग और आईटी प्रबंधन सॉफ्टवेयर होने का दिखावा करते थे।

यद्यपि नकली वेबसाइटों के माध्यम से मैलवेयर वितरित करने के लिए पहले भी मैलवेयर रणनीति का उपयोग किया गया है, लेकिन यह घटना एक जटिल विंडोज बैकडोर को फैलाने के लिए इस तरह की विधि का उपयोग करने का पहला उदाहरण है।

ख़तरा पैदा करने वाले लोग नकली वेबसाइटों के ज़रिए उपयोगकर्ताओं को लुभाकर शक्तिशाली बैकडोर मैलवेयर भेजते हैं

जो उपयोगकर्ता इन उपकरणों की खोज करते हैं, उन्हें जावास्क्रिप्ट कोड युक्त धोखाधड़ी वाली वेबसाइटों पर निर्देशित किया जाता है, जो डाउनलोड बटन पर क्लिक करने पर 'Advanced-ip-scanner.zip' नामक दुर्भावनापूर्ण फ़ाइल को डाउनलोड करने के लिए प्रेरित करता है।

ज़िप संग्रह में दो फ़ाइलें हैं: 'IVIEWERS.dll' और 'Advanced-ip-scanner.exe.' बाद वाली फ़ाइल 'IVIEWERS.dll' को लोड करने और संक्रमण प्रक्रिया आरंभ करने के लिए DLL साइड-लोडिंग का उपयोग करती है।

DLL फ़ाइल प्रोसेस होलोइंग नामक तकनीक का उपयोग करके 'Advanced-ip-scanner.exe' प्रक्रिया में एम्बेडेड शेलकोड इंजेक्ट करती है। इसके बाद, इंजेक्ट की गई EXE फ़ाइल दो अतिरिक्त फ़ाइलों को अनपैक करती है - 'OneDrive.exe' और 'Secur32.dll'।

वैध हस्ताक्षरित Microsoft बाइनरी 'OneDrive.exe' का उपयोग 'Secur32.dll' को लोड करने और शेलकोड बैकडोर को निष्पादित करने के लिए किया जाता है। पहले, मैलवेयर एक शेड्यूल किए गए कार्य को बनाकर और Microsoft Defender Antivirus को अक्षम करके होस्ट पर दृढ़ता स्थापित करता है।

MadMxShell बैकडोर अनेक खतरनाक क्रियाएं करता है

कमांड-एंड-कंट्रोल (C2) के लिए DNS MX क्वेरीज़ के उपयोग के लिए नामित, MadMxShell बैकडोर को सिस्टम डेटा एकत्र करने, cmd.exe के माध्यम से कमांड निष्पादित करने और फ़ाइलों को पढ़ने, लिखने और हटाने जैसे बुनियादी फ़ाइल संचालन करने के लिए डिज़ाइन किया गया है।

अपने C2 सर्वर ('litterbolo.com') के साथ संचार करने के लिए, यह पूर्णतः योग्य डोमेन नाम (FQDN) के उपडोमेन के भीतर डेटा को DNS मेल एक्सचेंज (MX) क्वेरी पैकेट में एनकोड करता है और प्रतिक्रिया पैकेट में सन्निहित कमांड को डिक्रिप्ट करता है।

C2 संचार के लिए मल्टी-स्टेज DLL साइड-लोडिंग और DNS टनलिंग जैसी युक्तियों का उपयोग करते हुए, बैकडोर का उद्देश्य एंडपॉइंट और नेटवर्क सुरक्षा उपायों को चकमा देना है। इसके अतिरिक्त, यह मेमोरी विश्लेषण को विफल करने और फोरेंसिक सुरक्षा उपायों को बाधित करने के लिए एंटी-डंपिंग जैसे बचाव के तरीकों का उपयोग करता है।

मैडमएक्सशेल बैकडोर के पीछे के ख़तरा अभिनेता के लक्ष्य अज्ञात हैं

मैलवेयर संचालकों की उत्पत्ति या इरादों के बारे में फिलहाल कोई निश्चित सुराग नहीं है। हालांकि, शोधकर्ताओं ने आपराधिक भूमिगत मंचों पर उनके द्वारा बनाए गए दो खातों का पता लगाया है। विशेष रूप से, इन अभिनेताओं को जून 2023 तक असीमित Google AdSense सीमा खाते स्थापित करने के तरीकों की पेशकश करने वाली चर्चाओं में भाग लेते हुए देखा गया है, जो निरंतर मैलवेयर अभियान शुरू करने में गहरी दिलचस्पी का संकेत देता है।

Google Ads थ्रेसहोल्ड का फायदा उठाने के लिए खातों और रणनीतियों का आदान-प्रदान आमतौर पर BlackHat फ़ोरम पर किया जाता है। ये तरीके अक्सर धमकी देने वाले लोगों को बिना किसी तत्काल भुगतान के Google Ads अभियान चलाने के लिए क्रेडिट जमा करने का एक साधन प्रदान करते हैं, जिससे उनके अभियानों की अवधि प्रभावी रूप से बढ़ जाती है। पर्याप्त रूप से उच्च सीमा धमकी देने वाले लोगों को अपने विज्ञापन अभियानों को लंबे समय तक बनाए रखने में सक्षम बनाती है।