MadMxShell Backdoor
Um esquema de malvertising no Google está usando um grupo de sites que imitam software legítimo de scanner de IP para distribuir um backdoor recém-descoberto chamado MadMxShell. Os invasores registraram vários domínios de aparência semelhante por meio de typosquatting e estão usando o Google Ads para impulsionar esses sites nos resultados de pesquisa, visando palavras-chave específicas para atrair visitantes desavisados.
Entre novembro de 2023 e março de 2024, cerca de 45 domínios foram registrados, fingindo ser vários softwares de varredura de portas e gerenciamento de TI, como Advanced IP Scanner, Angry IP Scanner, IP scanner PRTG e ManageEngine.
Embora táticas de malvertising tenham sido usadas antes para distribuir malware por meio de sites falsos, este incidente marca a primeira instância de tal método sendo empregado para espalhar um backdoor complexo do Windows.
Índice
Os Autores de Ameaças Atraem Usuários com Sites Falsos para FInstalar umr Malware Backdoor Potente
Os usuários que procuram essas ferramentas são direcionados para sites fraudulentos que contêm código JavaScript que aciona o download de um arquivo malicioso chamado 'Advanced-ip-scanner.zip' quando o botão de download é clicado.
Dentro do arquivo ZIP, existem dois arquivos: ‘IVIEWERS.dll’ e ‘Advanced-ip-scanner.exe’. Este último utiliza carregamento lateral de DLL para carregar 'IVIEWERS.dll' e iniciar o processo de infecção.
O arquivo DLL injeta shellcode incorporado no processo ‘Advanced-ip-scanner.exe’ usando uma técnica chamada esvaziamento de processo. Posteriormente, o arquivo EXE injetado descompacta dois arquivos adicionais – ‘OneDrive.exe’ e ‘Secur32.dll’.
O binário legítimo assinado pela Microsoft 'OneDrive.exe' é explorado para carregar 'Secur32.dll' e executar o backdoor do shellcode. Anteriormente, o malware estabelece persistência no host criando uma tarefa agendada e desativando o Microsoft Defender Antivirus.
O MadMxShell Backdoor Executa Inúmeras Ações Ameaçadoras
Nomeado por sua utilização de consultas DNS MX para Comando e Controle (C2), o backdoor MadMxShell foi projetado para coletar dados do sistema, executar comandos via cmd.exe e conduzir operações fundamentais de arquivos, como leitura, gravação e exclusão de arquivos.
Para se comunicar com seu servidor C2 ('litterbolo.com'), ele codifica dados dentro dos subdomínios do Nome de Domínio Totalmente Qualificado (FQDN) em pacotes de consulta de troca de correio DNS (MX) e decifra comandos incorporados em pacotes de resposta.
Empregando táticas como carregamento lateral de DLL em vários estágios e tunelamento DNS para comunicação C2, o backdoor visa escapar das medidas de segurança de rede e de endpoint. Além disso, emprega métodos de evasão, como anti-dumping, para frustrar a análise de memória e impedir medidas de segurança forense.
Os Objetivos do Autor de Ameaças por Trás do MadMxShell Backdoor são Desconhecidos
Atualmente não há pistas definitivas sobre a origem ou intenções dos operadores de malware. No entanto, os pesquisadores descobriram duas contas criadas por eles em fóruns criminosos clandestinos. Especificamente, estes atores foram observados participando em discussões oferecendo métodos para estabelecer contas ilimitadas do Google AdSense já em junho de 2023, sugerindo um grande interesse em lançar uma campanha sustentada de malvertising.
Contas e estratégias para explorar os limites do Google Ads são comumente trocadas nos fóruns BlackHat. Esses métodos geralmente fornecem um meio para os agentes de ameaças acumularem créditos para veicular campanhas do Google Ads sem pagamento imediato, estendendo efetivamente a duração de suas campanhas. Um limite suficientemente alto permite que os agentes da ameaça sustentem as suas campanhas publicitárias por um período prolongado.
