MadMxShell bakdør
Et Google-malvertising-opplegg bruker en gruppe nettsteder som etterligner legitim IP-skannerprogramvare for å distribuere en nyoppdaget bakdør kalt MadMxShell. Angriperne har registrert en rekke domener som ligner på liknende utseende gjennom typosquatting og bruker Google Ads for å øke disse nettstedene i søkeresultatene, og målretter mot spesifikke søkeord for å tiltrekke seg intetanende besøkende.
Mellom november 2023 og mars 2024 ble rundt 45 domener registrert, som utga seg for å være ulike portskanning og IT-administrasjonsprogramvare som Advanced IP Scanner, Angry IP Scanner, IP-skanner PRTG og ManageEngine.
Mens malvertising-taktikker har blitt brukt før for å distribuere skadelig programvare gjennom falske nettsteder, markerer denne hendelsen det første tilfellet av en slik metode som ble brukt for å spre en kompleks Windows-bakdør.
Innholdsfortegnelse
Trusselskuespillere lokker brukere med falske nettsteder for å levere potent bakdørs skadelig programvare
Brukere som søker etter disse verktøyene ledes til uredelige nettsteder som inneholder JavaScript-kode som utløser nedlasting av en ondsinnet fil kalt 'Advanced-ip-scanner.zip' når nedlastingsknappen klikkes.
Innenfor ZIP-arkivet er det to filer: 'IVIEWERS.dll' og 'Advanced-ip-scanner.exe.' Sistnevnte bruker DLL-sidelasting for å laste 'IVIEWERS.dll' og starte infeksjonsprosessen.
DLL-filen injiserer innebygd skallkode i 'Advanced-ip-scanner.exe'-prosessen ved å bruke en teknikk som kalles prosessuthuling. Etterpå pakker den injiserte EXE-filen ut ytterligere to filer – 'OneDrive.exe' og 'Secur32.dll'.
Den legitime signerte Microsoft-binæren 'OneDrive.exe' utnyttes til å laste 'Secur32.dll' og kjøre bakdøren for skallkoden. På forhånd etablerer skadelig programvare utholdenhet på verten ved å opprette en planlagt oppgave og deaktivere Microsoft Defender Antivirus.
MadMxShell-bakdøren utfører en rekke truende handlinger
MadMxShell-bakdøren er oppkalt etter bruken av DNS MX-spørringer for Command-and-Control (C2), og er konstruert for å samle systemdata, utføre kommandoer via cmd.exe og utføre grunnleggende filoperasjoner som å lese, skrive og slette filer.
For å kommunisere med sin C2-server ('litterbolo.com'), koder den data innenfor underdomenene til Fully Qualified Domain Name (FQDN) i DNS-postutveksling (MX)-spørringspakker og dechiffrerer kommandoer innebygd i svarpakker.
Ved å bruke taktikker som flertrinns DLL-sidelasting og DNS-tunnelering for C2-kommunikasjon, har bakdøren som mål å unngå endepunkt- og nettverkssikkerhetstiltak. I tillegg bruker den unndragelsesmetoder som antidumping for å hindre minneanalyse og hindre rettsmedisinske sikkerhetstiltak.
Trusselskuespilleren bak MadMxShell-bakdøren har ukjente mål
Det er foreløpig ingen definitive ledetråder angående opprinnelsen eller intensjonene til skadevareoperatørene. Imidlertid har forskere avdekket to kontoer opprettet av dem på kriminelle undergrunnsfora. Spesifikt har disse aktørene blitt observert delta i diskusjoner som tilbyr metoder for å etablere ubegrensede Google AdSense-terskelkontoer så langt tilbake som i juni 2023, noe som tyder på en stor interesse for å lansere en vedvarende malvertising-kampanje.
Kontoer og strategier for å utnytte Google Ads-terskler utveksles ofte på BlackHat-fora. Disse metodene gir ofte trusselaktører et middel til å samle opp kreditter for å kjøre Google Ads-kampanjer uten umiddelbar betaling, noe som effektivt forlenger varigheten av kampanjene deres. En tilstrekkelig høy terskel gjør det mulig for trusselaktører å opprettholde annonsekampanjene sine i en lengre periode.
