MadMxShell Backdoor
Googlova zlorabna shema uporablja skupino spletnih mest, ki posnemajo zakonito programsko opremo za skeniranje IP-jev, za distribucijo na novo odkritih stranskih vrat, imenovanih MadMxShell. Napadalci so registrirali številne podobne domene prek typosquattinga in uporabljajo Google Ads, da ta spletna mesta povečajo v rezultatih iskanja, pri čemer ciljajo na določene ključne besede, da bi pritegnili nič hudega sluteče obiskovalce.
Med novembrom 2023 in marcem 2024 je bilo registriranih okoli 45 domen, ki so se pretvarjale, da so različna programska oprema za skeniranje vrat in upravljanje IT, kot so Advanced IP Scanner, Angry IP Scanner, IP scanner PRTG in ManageEngine.
Čeprav so bile taktike zlonamernega oglaševanja uporabljene že prej za distribucijo zlonamerne programske opreme prek lažnih spletnih mest, je ta incident prvi primer uporabe takšne metode za širjenje zapletenih stranskih vrat Windows.
Kazalo
Akterji groženj zvabijo uporabnike z lažnimi spletnimi mesti za dostavo močne zlonamerne programske opreme za zakulisna vrata
Uporabniki, ki iščejo ta orodja, so usmerjeni na goljufiva spletna mesta, ki vsebujejo kodo JavaScript, ki ob kliku gumba za prenos sproži prenos zlonamerne datoteke z imenom 'Advanced-ip-scanner.zip'.
Znotraj arhiva ZIP sta dve datoteki: 'IVIEWERS.dll' in 'Advanced-ip-scanner.exe.' Slednji uporablja stransko nalaganje DLL, da naloži »IVIEWERS.dll« in sproži postopek okužbe.
Datoteka DLL vstavi vdelano lupinsko kodo v proces 'Advanced-ip-scanner.exe' s tehniko, ki se imenuje proces hollowing. Nato vstavljena datoteka EXE razpakira dve dodatni datoteki – »OneDrive.exe« in »Secur32.dll«.
Zakonito podpisana Microsoftova binarna datoteka 'OneDrive.exe' se izkorišča za nalaganje 'Secur32.dll' in izvajanje lupinske kode backdoor. Pred tem zlonamerna programska oprema vzpostavi obstojnost na gostitelju tako, da ustvari načrtovano nalogo in onemogoči protivirusni program Microsoft Defender.
Backdoor MadMxShell izvaja številna nevarna dejanja
Zadnja vrata MadMxShell, imenovana po uporabi poizvedb DNS MX za Command-and-Control (C2), so zasnovana za zbiranje sistemskih podatkov, izvajanje ukazov prek cmd.exe in izvajanje osnovnih operacij datotek, kot so branje, pisanje in brisanje datotek.
Za komunikacijo s svojim strežnikom C2 ('litterbolo.com') kodira podatke znotraj poddomen popolnoma kvalificiranega imena domene (FQDN) v paketih poizvedb za izmenjavo pošte DNS (MX) in dešifrira ukaze, vdelane v pakete odgovorov.
Z uporabo taktik, kot sta večstopenjsko stransko nalaganje DLL in tuneliranje DNS za komunikacijo C2, se zadnja vrata poskušajo izogniti varnostnim ukrepom končne točke in omrežja. Poleg tega uporablja metode izogibanja, kot je anti-dumping, da prepreči analizo spomina in ovira forenzične varnostne ukrepe.
Udeleženec grožnje za backdoorjem MadMxShell ima neznane cilje
Trenutno ni dokončnih namigov o izvoru ali namerah operaterjev zlonamerne programske opreme. Vendar pa so raziskovalci odkrili dva računa, ki sta jih ustvarila na kriminalnih podtalnih forumih. Natančneje, opazili so, da so ti akterji sodelovali v razpravah, ki so ponujale metode za vzpostavitev neomejenih računov s pragom Google AdSense že junija 2023, kar kaže na veliko zanimanje za zagon trajne zlonamerne oglaševalske kampanje.
Računi in strategije za izkoriščanje pragov Google Ads se pogosto izmenjujejo na forumih BlackHat. Te metode akterjem groženj pogosto omogočajo zbiranje kreditov za vodenje oglaševalskih akcij Google Ads brez takojšnjega plačila, s čimer dejansko podaljšajo trajanje svojih kampanj. Dovolj visok prag akterjem groženj omogoča, da vzdržujejo svoje oglaševalske akcije daljše obdobje.
