МадМкСхелл Бацкдоор
Гоогле-ова шема малвертисинга користи групу веб локација које опонашају легитимни софтвер за ИП скенер за дистрибуцију новооткривеног бацкдоор-а под називом МадМкСхелл. Нападачи су регистровали бројне домене сличног изгледа путем куцања и користе Гоогле Адс да побољшају ове сајтове у резултатима претраге, циљајући одређене кључне речи како би привукли несуђене посетиоце.
Између новембра 2023. и марта 2024. регистровано је око 45 домена, који су се претварали да су различити софтвери за скенирање портова и ИТ управљање као што су Адванцед ИП Сцаннер, Ангри ИП Сцаннер, ИП скенер ПРТГ и МанагеЕнгине.
Иако је тактика малвертисинга раније коришћена за дистрибуцију злонамерног софтвера преко лажних веб локација, овај инцидент означава прву инстанцу такве методе која се користи за ширење сложеног Виндовс бацкдоор-а.
Преглед садржаја
Глумци претњи маме кориснике лажним веб локацијама да испоруче моћан бацкдоор малвер
Корисници који претражују ове алатке се усмеравају на лажне веб локације које садрже ЈаваСцрипт код који покреће преузимање злонамерне датотеке под називом „Адванцед-ип-сцаннер.зип“ када се кликне на дугме за преузимање.
У оквиру ЗИП архиве постоје две датотеке: „ИВИЕВЕРС.длл“ и „Адванцед-ип-сцаннер.еке“. Потоњи користи ДЛЛ бочно учитавање за учитавање „ИВИЕВЕРС.длл“ и покретање процеса инфекције.
ДЛЛ датотека убризгава уграђени схеллцоде у процес 'Адванцед-ип-сцаннер.еке' користећи технику која се зове процес шупље. Након тога, уметнута ЕКСЕ датотека распакује две додатне датотеке – „ОнеДриве.еке“ и „Сецур32.длл“.
Легитимно потписани Мицрософт бинарни „ОнеДриве.еке“ се искориштава за учитавање „Сецур32.длл“ и извршавање бацкдоор схеллцоде-а. Претходно, малвер успоставља постојаност на хосту креирањем заказаног задатка и онемогућавањем Мицрософт Дефендер Антивируса.
Позадинска врата МадМкСхелл обавља бројне претеће радње
Назван по коришћењу ДНС МКС упита за команду и контролу (Ц2), МадМкСхелл бацкдоор је пројектован да прикупља системске податке, извршава команде преко цмд.еке и спроводи основне операције са датотекама као што су читање, писање и брисање датотека.
Да би комуницирао са својим Ц2 сервером ('литтерболо.цом'), он кодира податке унутар поддомена потпуно квалификованог имена домена (ФКДН) у ДНС пакетима упита за размену поште (МКС) и дешифрује команде уграђене у пакете одговора.
Користећи тактике као што су вишестепено ДЛЛ бочно учитавање и ДНС тунелирање за Ц2 комуникацију, бацкдоор има за циљ да избегне мере безбедности крајње тачке и мреже. Поред тога, користи методе избегавања као што је анти-дампинг да би спречио анализу меморије и спречио форензичке безбедносне мере.
Глумац претњи иза МадМкСхелл Бацкдоор има непознате циљеве
Тренутно нема дефинитивних трагова о пореклу или намерама оператера злонамерног софтвера. Међутим, истраживачи су открили два налога које су креирали на криминалним подземним форумима. Конкретно, ови актери су примећени како учествују у дискусијама које нуде методе за успостављање неограничених Гоогле АдСенсе налога са прагом још у јуну 2023. године, што сугерише велико интересовање за покретање трајне кампање злонамерног оглашавања.
Налози и стратегије за искоришћавање Гоогле Адс прагова се обично размењују на БлацкХат форумима. Ове методе често обезбеђују средство за актере претњи да акумулирају кредите за покретање Гоогле Адс кампања без тренутне наплате, чиме се ефективно продужава трајање њихових кампања. Довољно висок праг омогућава актерима претњи да одрже своје рекламне кампање на дужи период.
