Cửa sau MadMxShell
Một kế hoạch quảng cáo độc hại của Google đang sử dụng một nhóm trang web bắt chước phần mềm quét IP hợp pháp để phân phối một cửa hậu mới được phát hiện có tên MadMxShell. Những kẻ tấn công đã đăng ký nhiều tên miền trông giống nhau thông qua lỗi đánh máy và đang sử dụng Google Ads để quảng cáo các trang web này trong kết quả tìm kiếm, nhắm mục tiêu từ khóa cụ thể để thu hút những khách truy cập không nghi ngờ.
Từ tháng 11 năm 2023 đến tháng 3 năm 2024, khoảng 45 miền đã được đăng ký, giả danh là nhiều phần mềm quản lý CNTT và quét cổng khác nhau như Advanced IP Scanner, Angry IP Scanner, IP scanner PRTG và ManagedEngine.
Mặc dù các chiến thuật quảng cáo độc hại trước đây đã được sử dụng để phân phối phần mềm độc hại thông qua các trang web giả mạo, nhưng sự cố này đánh dấu trường hợp đầu tiên phương pháp này được sử dụng để phát tán một cửa hậu phức tạp của Windows.
Mục lục
Những kẻ đe dọa thu hút người dùng bằng các trang web giả mạo để phát tán phần mềm độc hại Backdoor tiềm ẩn
Người dùng tìm kiếm những công cụ này sẽ được chuyển hướng đến các trang web lừa đảo chứa mã JavaScript kích hoạt tải xuống tệp độc hại có tên 'Advanced-ip-scanner.zip' khi nhấp vào nút tải xuống.
Trong kho lưu trữ ZIP, có hai tệp: 'IVIEWERS.dll' và 'Advanced-ip-scanner.exe.' Cái sau sử dụng tính năng tải phụ DLL để tải 'IVIEWERS.dll' và bắt đầu quá trình lây nhiễm.
Tệp DLL chèn mã shell được nhúng vào quy trình 'Advanced-ip-scanner.exe' bằng cách sử dụng kỹ thuật được gọi là làm rỗng quy trình. Sau đó, tệp EXE được chèn sẽ giải nén hai tệp bổ sung – 'OneDrive.exe' và 'Secur32.dll'.
Tệp nhị phân 'OneDrive.exe' được ký hợp pháp của Microsoft bị khai thác để tải 'Secur32.dll' và thực thi cửa hậu shellcode. Trước đó, phần mềm độc hại thiết lập sự tồn tại trên máy chủ bằng cách tạo một tác vụ theo lịch trình và vô hiệu hóa Tính năng Chống Virut của Bộ bảo vệ Microsoft.
Backdoor MadMxShell thực hiện nhiều hành động đe dọa
Được đặt tên theo việc sử dụng các truy vấn DNS MX cho Command-and-Control (C2), cửa sau MadMxShell được thiết kế để thu thập dữ liệu hệ thống, thực thi các lệnh thông qua cmd.exe và thực hiện các hoạt động cơ bản với tệp như đọc, ghi và xóa tệp.
Để liên lạc với máy chủ C2 ('litterbolo.com'), nó mã hóa dữ liệu trong tên miền phụ của Tên miền đủ điều kiện (FQDN) trong gói truy vấn trao đổi thư DNS (MX) và giải mã các lệnh được nhúng trong gói phản hồi.
Sử dụng các chiến thuật như tải phụ DLL nhiều giai đoạn và tạo đường hầm DNS cho giao tiếp C2, cửa sau nhằm mục đích trốn tránh các biện pháp bảo mật mạng và điểm cuối. Ngoài ra, nó còn sử dụng các phương pháp trốn tránh như chống bán phá giá để ngăn cản việc phân tích bộ nhớ và cản trở các biện pháp an ninh pháp lý.
Kẻ đe dọa đằng sau Backdoor MadMxShell có mục tiêu không xác định
Hiện tại không có manh mối rõ ràng nào về nguồn gốc hoặc ý định của những kẻ điều hành phần mềm độc hại. Tuy nhiên, các nhà nghiên cứu đã phát hiện ra hai tài khoản do chúng tạo ra trên các diễn đàn tội phạm ngầm. Cụ thể, người ta đã quan sát thấy những tác nhân này tham gia vào các cuộc thảo luận đưa ra các phương pháp thiết lập tài khoản ngưỡng Google AdSense không giới hạn kể từ tháng 6 năm 2023, cho thấy họ rất quan tâm đến việc triển khai một chiến dịch quảng cáo độc hại kéo dài.
Các tài khoản và chiến lược khai thác ngưỡng Google Ads được trao đổi phổ biến trên các diễn đàn BlackHat. Các phương pháp này thường cung cấp phương tiện để các tác nhân đe dọa tích lũy tín dụng để chạy các chiến dịch Google Ads mà không cần thanh toán ngay lập tức, từ đó kéo dài thời gian của chiến dịch một cách hiệu quả. Ngưỡng đủ cao cho phép các tác nhân đe dọa duy trì các chiến dịch quảng cáo của họ trong thời gian dài.
