MadMxShell Bakdörr
Ett Google malvertising-system använder en grupp webbplatser som efterliknar legitim IP-skannerprogramvara för att distribuera en nyupptäckt bakdörr som heter MadMxShell. Angriparna har registrerat många liknande domäner genom typosquatting och använder Google Ads för att öka dessa webbplatser i sökresultaten och riktar in sig på specifika sökord för att locka intet ont anande besökare.
Mellan november 2023 och mars 2024 registrerades cirka 45 domäner, som låtsades vara olika portskanning och IT-hanteringsprogram som Advanced IP Scanner, Angry IP Scanner, IP-scanner PRTG och ManageEngine.
Även om malvertising-taktik har använts tidigare för att distribuera skadlig programvara via falska webbplatser, markerar denna incident den första instansen av en sådan metod som används för att sprida en komplex Windows-bakdörr.
Innehållsförteckning
Hotskådespelare lockar användare med falska webbplatser för att leverera potent bakdörrsmalware
Användare som söker efter dessa verktyg hänvisas till bedrägliga webbplatser som innehåller JavaScript-kod som utlöser nedladdningen av en skadlig fil med namnet "Advanced-ip-scanner.zip" när nedladdningsknappen klickas.
Inom ZIP-arkivet finns det två filer: 'IVIEWERS.dll' och 'Advanced-ip-scanner.exe.' Den senare använder DLL-sidoladdning för att ladda 'IVIEWERS.dll' och initiera infektionsprocessen.
DLL-filen injicerar inbäddad skalkod i 'Advanced-ip-scanner.exe'-processen med hjälp av en teknik som kallas process hollowing. Efteråt packar den injicerade EXE-filen upp ytterligare två filer – 'OneDrive.exe' och 'Secur32.dll'.
Den legitima signerade Microsoft-binären 'OneDrive.exe' utnyttjas för att ladda 'Secur32.dll' och exekvera skalkodens bakdörr. I förväg etablerar skadlig programvara beständighet på värden genom att skapa en schemalagd uppgift och inaktivera Microsoft Defender Antivirus.
MadMxShell-bakdörren utför många hotfulla åtgärder
MadMxShell-bakdörren är uppkallad efter användningen av DNS MX-frågor för Command-and-Control (C2), och är konstruerad för att samla in systemdata, utföra kommandon via cmd.exe och utföra grundläggande filoperationer som att läsa, skriva och ta bort filer.
För att kommunicera med sin C2-server ('litterbolo.com'), kodar den data inom underdomänerna för det fullständiga kvalificerade domännamnet (FQDN) i frågepaket för DNS-e-postutbyte (MX) och dechiffrerar kommandon inbäddade i svarspaket.
Genom att använda taktik som sidladdning av DLL i flera steg och DNS-tunnling för C2-kommunikation, syftar bakdörren till att undvika slutpunkts- och nätverkssäkerhetsåtgärder. Dessutom använder den undanflyktsmetoder som antidumpning för att omintetgöra minnesanalyser och hindra kriminaltekniska säkerhetsåtgärder.
Hotskådespelaren bakom MadMxShell-bakdörren har okända mål
Det finns för närvarande inga definitiva ledtrådar om ursprunget eller avsikterna för skadlig programvara. Men forskare har avslöjat två konton skapade av dem på kriminella underjordiska forum. Specifikt har dessa aktörer observerats delta i diskussioner som erbjuder metoder för att skapa obegränsade Google AdSense-tröskelkonton så långt tillbaka som i juni 2023, vilket tyder på ett stort intresse för att lansera en varaktig malvertisingkampanj.
Konton och strategier för att utnyttja Google Ads-trösklar utbyts vanligtvis på BlackHat-forum. Dessa metoder är ofta ett sätt för hotaktörer att samla på sig krediter för att köra Google Ads-kampanjer utan omedelbar betalning, vilket i praktiken förlänger varaktigheten för deras kampanjer. En tillräckligt hög tröskel gör att hotaktörer kan behålla sina annonskampanjer under en längre period.
