MadMxShell Backdoor
Schéma malvertisingu společnosti Google využívá skupinu webových stránek, které napodobují legitimní software pro skenování IP adres, k distribuci nově objevených zadních vrátek s názvem MadMxShell. Útočníci zaregistrovali řadu podobně vypadajících domén prostřednictvím překlepů a používají Google Ads k posílení těchto stránek ve výsledcích vyhledávání, přičemž cílí na konkrétní klíčová slova, aby přilákali nic netušící návštěvníky.
Mezi listopadem 2023 a březnem 2024 bylo zaregistrováno přibližně 45 domén, které se vydávaly za různé software pro skenování portů a správu IT, jako je Advanced IP Scanner, Angry IP Scanner, IP skener PRTG a ManageEngine.
Zatímco malwarová taktika byla dříve používána k distribuci malwaru prostřednictvím falešných webových stránek, tento incident je prvním případem použití takové metody k šíření složitého backdooru Windows.
Obsah
Aktéři hrozeb lákají uživatele falešnými webovými stránkami, aby přinášeli silný backdoor malware
Uživatelé, kteří hledají tyto nástroje, jsou přesměrováni na podvodné webové stránky obsahující kód JavaScript, který po kliknutí na tlačítko stahování spustí stahování škodlivého souboru s názvem „Advanced-ip-scanner.zip“.
V archivu ZIP jsou dva soubory: 'IVIEWERS.dll' a 'Advanced-ip-scanner.exe.' Ten využívá k načtení souboru 'IVIEWERS.dll' a zahájení procesu infekce boční načítání DLL.
Soubor DLL vkládá vložený kód shellu do procesu 'Advanced-ip-scanner.exe' pomocí techniky nazývané proces hollowing. Poté vložený soubor EXE rozbalí dva další soubory – „OneDrive.exe“ a „Secur32.dll“.
Legitimní podepsaný binární soubor Microsoftu 'OneDrive.exe' je zneužit k načtení 'Secur32.dll' a spuštění backdoor shell kódu. Malware předem vytvoří na hostiteli trvalost vytvořením naplánované úlohy a deaktivací Microsoft Defender Antivirus.
MadMxShell Backdoor provádí četné ohrožující akce
Zadní vrátka MadMxShell, pojmenovaný pro využití dotazů DNS MX pro Command-and-Control (C2), je navržena tak, aby shromažďovala systémová data, spouštěla příkazy přes cmd.exe a prováděla základní operace se soubory, jako je čtení, zápis a mazání souborů.
Pro komunikaci se svým C2 serverem („litterbolo.com“) kóduje data v subdoménách plně kvalifikovaného názvu domény (FQDN) v dotazovacích paketech DNS mail exchange (MX) a dešifruje příkazy vložené do paketů odpovědí.
Pomocí taktiky, jako je vícestupňové načítání DLL z boku a tunelování DNS pro komunikaci C2, se zadní vrátka snaží vyhnout opatřením pro zabezpečení koncových bodů a sítě. Kromě toho využívá metody úniků, jako je antidumping, ke zmaření analýzy paměti a znemožnění forenzních bezpečnostních opatření.
The Threat Actor za MadMxShell Backdoor má neznámé cíle
V současné době neexistují žádné definitivní stopy ohledně původu nebo záměrů provozovatelů malwaru. Výzkumníci však odhalili dva účty, které vytvořili na kriminálních podzemních fórech. Konkrétně byli tito aktéři pozorováni, jak se účastní diskusí nabízejících metody k založení neomezených účtů Google AdSense s limitem již v červnu 2023, což naznačuje velký zájem o zahájení trvalé kampaně zaměřené na malovou reklamu.
Účty a strategie pro využívání limitů Google Ads se běžně vyměňují na fórech BlackHat. Tyto metody často umožňují aktérům hrozeb shromažďovat kredity za provozování kampaní Google Ads bez okamžité platby, čímž účinně prodlužují dobu trvání jejich kampaní. Dostatečně vysoký práh umožňuje aktérům ohrožení udržet své reklamní kampaně po delší dobu.
