MadMxShell Backdoor
Gumagamit ang isang Google malvertising scheme ng pangkat ng mga website na ginagaya ang lehitimong IP scanner software upang ipamahagi ang isang bagong natuklasang backdoor na tinatawag na MadMxShell. Ang mga umaatake ay nagrehistro ng maraming katulad na hitsura ng mga domain sa pamamagitan ng typosquatting at ginagamit ang Google Ads upang palakasin ang mga site na ito sa mga resulta ng paghahanap, na nagta-target ng mga partikular na keyword upang makaakit ng mga hindi inaasahang bisita.
Sa pagitan ng Nobyembre 2023 at Marso 2024, humigit-kumulang 45 na domain ang nairehistro, na nagpapanggap na iba't ibang port scanning at IT management software tulad ng Advanced IP Scanner, Angry IP Scanner, IP scanner PRTG at ManageEngine.
Bagama't ang mga taktika ng malvertising ay ginamit noon upang mamahagi ng malware sa pamamagitan ng mga pekeng website, ang insidenteng ito ay nagmamarka ng unang pagkakataon ng naturang pamamaraan na ginagamit upang maikalat ang isang kumplikadong backdoor ng Windows.
Talaan ng mga Nilalaman
Nanghihikayat ang Mga Aktor ng Banta sa Mga Gumagamit gamit ang Mga Pekeng Website upang Maghatid ng Makapangyarihang Backdoor Malware
Ang mga user na naghahanap ng mga tool na ito ay idinidirekta sa mga mapanlinlang na website na naglalaman ng JavaScript code na nagti-trigger sa pag-download ng isang malisyosong file na pinangalanang 'Advanced-ip-scanner.zip' kapag na-click ang button sa pag-download.
Sa loob ng ZIP archive, mayroong dalawang file: 'IVIEWERS.dll' at 'Advanced-ip-scanner.exe.' Ang huli ay gumagamit ng DLL side-loading upang i-load ang 'IVIEWERS.dll' at simulan ang proseso ng impeksyon.
Ang DLL file ay nag-inject ng naka-embed na shellcode sa proseso ng 'Advanced-ip-scanner.exe' gamit ang isang pamamaraan na tinatawag na process hollowing. Pagkatapos, ang ini-inject na EXE file ay nag-unpack ng dalawang karagdagang file – 'OneDrive.exe' at 'Secur32.dll'.
Ang lehitimong nilagdaang Microsoft binary na 'OneDrive.exe' ay pinagsamantalahan upang i-load ang 'Secur32.dll' at isagawa ang shellcode backdoor. Bago pa man, ang malware ay nagtatatag ng pagtitiyaga sa host sa pamamagitan ng paglikha ng nakaiskedyul na gawain at hindi pagpapagana ng Microsoft Defender Antivirus.
Ang MadMxShell Backdoor ay Gumagawa ng Maraming Mga Pagbabantang Aksyon
Pinangalanan para sa paggamit nito ng mga query sa DNS MX para sa Command-and-Control (C2), ang MadMxShell backdoor ay inengineered upang mangalap ng data ng system, magsagawa ng mga command sa pamamagitan ng cmd.exe, at magsagawa ng mga pangunahing operasyon ng file tulad ng pagbabasa, pagsulat at pagtanggal ng mga file.
Para makipag-ugnayan sa C2 server nito ('litterbolo.com'), nag-encode ito ng data sa loob ng mga subdomain ng Fully Qualified Domain Name (FQDN) sa mga query packet ng DNS mail exchange (MX) at nagde-decipher ng mga command na naka-embed sa mga response packet.
Gumagamit ng mga taktika tulad ng multi-stage na DLL side-loading at DNS tunneling para sa C2 na komunikasyon, ang backdoor ay naglalayong iwasan ang endpoint at mga hakbang sa seguridad ng network. Bukod pa rito, gumagamit ito ng mga paraan ng pag-iwas tulad ng anti-dumping upang hadlangan ang pagsusuri ng memorya at hadlangan ang mga hakbang sa seguridad ng forensic.
Ang Threat Actor sa likod ng MadMxShell Backdoor ay May Hindi Alam na Mga Layunin
Kasalukuyang walang tiyak na mga pahiwatig tungkol sa pinagmulan o intensyon ng mga operator ng malware. Gayunpaman, natuklasan ng mga mananaliksik ang dalawang account na ginawa nila sa mga kriminal na underground forum. Sa partikular, ang mga aktor na ito ay naobserbahang nakikilahok sa mga talakayan na nag-aalok ng mga pamamaraan para magtatag ng walang limitasyong mga Google AdSense threshold account noong Hunyo 2023, na nagmumungkahi ng matinding interes sa paglulunsad ng isang patuloy na kampanyang malvertising.
Ang mga account at diskarte para sa pagsasamantala sa mga threshold ng Google Ads ay karaniwang ipinagpapalit sa mga forum ng BlackHat. Ang mga paraang ito ay kadalasang nagbibigay ng paraan para sa mga banta ng aktor na makaipon ng mga kredito para sa pagpapatakbo ng mga Google Ads campaign nang walang agarang pagbabayad, na epektibong nagpapahaba sa tagal ng kanilang mga campaign. Ang isang sapat na mataas na threshold ay nagbibigay-daan sa mga aktor ng pagbabanta na mapanatili ang kanilang mga kampanya sa ad sa loob ng mahabang panahon.
