Бэкдор MadMxShell
Схема вредоносной рекламы Google использует группу веб-сайтов, имитирующих законное программное обеспечение для сканирования IP-адресов, для распространения недавно обнаруженного бэкдора под названием MadMxShell. Злоумышленники зарегистрировали множество похожих доменов с помощью опечаток и используют Google Ads для продвижения этих сайтов в результатах поиска, ориентируясь на определенные ключевые слова для привлечения ничего не подозревающих посетителей.
В период с ноября 2023 года по март 2024 года было зарегистрировано около 45 доменов, выдававших себя за различное программное обеспечение для сканирования портов и управления ИТ, такое как Advanced IP Scanner, Angry IP Scanner, IP Scanner PRTG и ManageEngine.
Хотя тактика вредоносной рекламы и раньше использовалась для распространения вредоносного ПО через поддельные веб-сайты, этот инцидент знаменует собой первый случай использования такого метода для распространения сложного бэкдора Windows.
Оглавление
Злоумышленники заманивают пользователей поддельными веб-сайтами для доставки мощного вредоносного ПО с бэкдором
Пользователи, которые ищут эти инструменты, перенаправляются на мошеннические веб-сайты, содержащие код JavaScript, который запускает загрузку вредоносного файла с именем «Advanced-ip-scanner.zip» при нажатии кнопки загрузки.
В ZIP-архиве есть два файла: «IVIEWERS.dll» и «Advanced-ip-scanner.exe». Последний использует неопубликованную загрузку DLL для загрузки «IVIEWERS.dll» и инициирования процесса заражения.
Файл DLL внедряет встроенный шелл-код в процесс «Advanced-ip-scanner.exe», используя метод, называемый «пустотой процесса». После этого внедренный EXE-файл распаковывает два дополнительных файла — OneDrive.exe и Secur32.dll.
Законный подписанный двоичный файл Microsoft OneDrive.exe используется для загрузки Secur32.dll и выполнения бэкдора шеллкода. Предварительно вредоносная программа обеспечивает постоянство на узле, создавая запланированное задание и отключая антивирусную программу Microsoft Defender.
Бэкдор MadMxShell выполняет множество угрожающих действий
Бэкдор MadMxShell, названный в честь использования запросов DNS MX для управления и контроля (C2), предназначен для сбора системных данных, выполнения команд через cmd.exe и выполнения фундаментальных операций с файлами, таких как чтение, запись и удаление файлов.
Для связи со своим сервером C2 («litterbolo.com») он кодирует данные в поддоменах полного доменного имени (FQDN) в пакетах запросов обмена почтой DNS (MX) и расшифровывает команды, встроенные в пакеты ответов.
Используя такие тактики, как многоэтапная неопубликованная загрузка DLL и туннелирование DNS для связи C2, бэкдор стремится обойти меры безопасности конечных точек и сети. Кроме того, он использует методы уклонения, такие как антидемпинг, чтобы помешать анализу памяти и препятствовать судебно-медицинским мерам безопасности.
У злоумышленника, стоящего за бэкдором MadMxShell, неизвестные цели
В настоящее время нет точных данных относительно происхождения и намерений операторов вредоносного ПО. Однако исследователи обнаружили два созданных ими аккаунта на форумах криминального подполья. В частности, еще в июне 2023 года было замечено, что эти субъекты участвовали в дискуссиях, предлагающих методы создания неограниченных пороговых учетных записей Google AdSense, что указывает на большой интерес к запуску устойчивой кампании по распространению вредоносной рекламы.
Аккаунты и стратегии использования пороговых значений Google Ads обычно обсуждаются на форумах BlackHat. Эти методы часто предоставляют злоумышленникам возможность накапливать кредиты для проведения кампаний Google Ads без немедленной оплаты, что эффективно продлевает продолжительность их кампаний. Достаточно высокий порог позволяет злоумышленникам поддерживать свои рекламные кампании в течение длительного периода.
