แบ็คดอร์ MadMxShell

โครงการโฆษณามัลแวร์ของ Google ใช้กลุ่มเว็บไซต์ที่เลียนแบบซอฟต์แวร์สแกน IP ที่ถูกกฎหมายเพื่อเผยแพร่แบ็คดอร์ที่เพิ่งค้นพบใหม่ที่เรียกว่า MadMxShell ผู้โจมตีได้จดทะเบียนโดเมนที่มีลักษณะคล้ายกันจำนวนมากผ่านการพิมพ์ผิด และใช้ Google Ads เพื่อเพิ่มไซต์เหล่านี้ในผลการค้นหา โดยกำหนดเป้าหมายคำหลักเฉพาะเพื่อดึงดูดผู้เข้าชมที่ไม่สงสัย

ระหว่างเดือนพฤศจิกายน 2023 ถึงเดือนมีนาคม 2024 มีการจดทะเบียนโดเมนประมาณ 45 โดเมน ซึ่งปลอมแปลงเป็นการสแกนพอร์ตต่างๆ และซอฟต์แวร์การจัดการไอที เช่น Advanced IP Scanner, Angry IP Scanner, IP Scanner PRTG และ ManageEngine

แม้ว่ากลยุทธ์การโฆษณามัลแวร์จะถูกนำมาใช้ก่อนที่จะเผยแพร่มัลแวร์ผ่านเว็บไซต์ปลอม แต่เหตุการณ์นี้ถือเป็นกรณีแรกของวิธีการดังกล่าวที่ใช้ในการแพร่กระจายแบ็คดอร์ Windows ที่ซับซ้อน

ผู้คุกคามล่อลวงผู้ใช้ด้วยเว็บไซต์ปลอมเพื่อส่งมัลแวร์แบ็คดอร์ที่มีศักยภาพ

ผู้ใช้ที่ค้นหาเครื่องมือเหล่านี้จะถูกส่งไปยังเว็บไซต์หลอกลวงที่มีโค้ด JavaScript ซึ่งทำให้เกิดการดาวน์โหลดไฟล์ที่เป็นอันตรายชื่อ 'Advanced-ip-scanner.zip' เมื่อมีการคลิกปุ่มดาวน์โหลด

ภายในไฟล์ ZIP จะมีสองไฟล์: 'IVIEWERS.dll' และ 'Advanced-ip-scanner.exe' หลังใช้การโหลดด้าน DLL เพื่อโหลด 'IVIEWERS.dll' และเริ่มกระบวนการติดไวรัส

ไฟล์ DLL จะแทรกเชลล์โค้ดแบบฝังลงในกระบวนการ 'Advanced-ip-scanner.exe' โดยใช้เทคนิคที่เรียกว่ากระบวนการกลวง หลังจากนั้น ไฟล์ EXE ที่ถูกแทรกจะแตกไฟล์เพิ่มเติมสองไฟล์ – 'OneDrive.exe' และ 'Secur32.dll'

ไบนารี่ Microsoft 'OneDrive.exe' ที่ลงชื่ออย่างถูกต้องถูกนำไปใช้เพื่อโหลด 'Secur32.dll' และรันแบ็คดอร์เชลล์โค้ด ก่อนหน้านี้ มัลแวร์จะสร้างการคงอยู่บนโฮสต์โดยการสร้างงานที่กำหนดเวลาไว้และปิดใช้งาน Microsoft Defender Antivirus

แบ็คดอร์ MadMxShell ดำเนินการคุกคามมากมาย

แบ็คดอร์ MadMxShell ตั้งชื่อตามการใช้งานการสืบค้น DNS MX สำหรับ Command-and-Control (C2) ได้รับการออกแบบมาเพื่อรวบรวมข้อมูลระบบ ดำเนินการคำสั่งผ่าน cmd.exe และดำเนินการไฟล์ขั้นพื้นฐาน เช่น การอ่าน การเขียน และการลบไฟล์

ในการสื่อสารกับเซิร์ฟเวอร์ C2 ('litterbolo.com') ระบบจะเข้ารหัสข้อมูลภายในโดเมนย่อยของชื่อโดเมนแบบเต็ม (FQDN) ในแพ็กเก็ตแบบสอบถาม DNS mail exchange (MX) และคำสั่งถอดรหัสที่ฝังอยู่ในแพ็กเก็ตตอบกลับ

การใช้กลยุทธ์ต่างๆ เช่น การโหลด DLL ด้านข้างแบบหลายขั้นตอน และอุโมงค์ DNS สำหรับการสื่อสาร C2 ประตูหลังนี้มีจุดมุ่งหมายเพื่อหลบเลี่ยงมาตรการรักษาความปลอดภัยปลายทางและเครือข่าย นอกจากนี้ ยังใช้วิธีการหลีกเลี่ยง เช่น การป้องกันการทุ่มตลาด เพื่อป้องกันการวิเคราะห์หน่วยความจำ และขัดขวางมาตรการรักษาความปลอดภัยทางนิติเวช

นักแสดงภัยคุกคามที่อยู่เบื้องหลังประตูหลัง MadMxShell มีเป้าหมายที่ไม่รู้จัก

ขณะนี้ยังไม่มีเบาะแสที่แน่ชัดเกี่ยวกับที่มาหรือความตั้งใจของผู้ดำเนินการมัลแวร์ อย่างไรก็ตาม นักวิจัยได้ค้นพบสองบัญชีที่พวกเขาสร้างขึ้นในฟอรัมใต้ดินทางอาญา โดยเฉพาะอย่างยิ่ง มีการสังเกตว่านักแสดงเหล่านี้มีส่วนร่วมในการอภิปรายโดยเสนอวิธีการสร้างบัญชีตามเกณฑ์ Google AdSense แบบไม่จำกัดจนถึงเดือนมิถุนายน 2023 ซึ่งบ่งบอกถึงความสนใจอย่างมากในการเปิดตัวแคมเปญโฆษณามัลแวร์ที่ยั่งยืน

โดยทั่วไปบัญชีและกลยุทธ์ในการใช้ประโยชน์จากเกณฑ์ Google Ads จะมีการแลกเปลี่ยนกันในฟอรัม BlackHat วิธีการเหล่านี้มักช่วยให้ผู้คุกคามสามารถสะสมเครดิตสำหรับใช้งานแคมเปญ Google Ads โดยไม่ต้องชำระเงินทันที ซึ่งจะช่วยขยายระยะเวลาของแคมเปญได้อย่างมีประสิทธิภาพ เกณฑ์ที่สูงเพียงพอทำให้ผู้คุกคามสามารถรักษาแคมเปญโฆษณาของตนไว้เป็นระยะเวลานาน