Porta posteriore MadMxShell
Uno schema di malvertising di Google utilizza un gruppo di siti Web che imitano software di scansione IP legittimi per distribuire una backdoor appena scoperta chiamata MadMxShell. Gli aggressori hanno registrato numerosi domini dall'aspetto simile attraverso il typosquatting e stanno utilizzando Google Ads per potenziare questi siti nei risultati di ricerca, prendendo di mira parole chiave specifiche per attirare visitatori ignari.
Tra novembre 2023 e marzo 2024 sono stati registrati circa 45 domini che fingevano di essere vari software di scansione delle porte e di gestione IT come Advanced IP Scanner, Angry IP Scanner, IP scanner PRTG e ManageEngine.
Sebbene in passato siano state utilizzate tattiche di malvertising per distribuire malware attraverso siti Web falsi, questo incidente segna il primo esempio di utilizzo di tale metodo per diffondere una complessa backdoor di Windows.
Sommario
Gli autori di minacce attirano gli utenti con siti Web falsi per diffondere potenti malware backdoor
Gli utenti che cercano questi strumenti vengono indirizzati a siti Web fraudolenti contenenti codice JavaScript che attiva il download di un file dannoso denominato "Advanced-ip-scanner.zip" quando si fa clic sul pulsante di download.
All'interno dell'archivio ZIP sono presenti due file: "IVIEWERS.dll" e "Advanced-ip-scanner.exe". Quest'ultimo utilizza il caricamento laterale DLL per caricare "IVIEWERS.dll" e avviare il processo di infezione.
Il file DLL inserisce lo shellcode incorporato nel processo "Advanced-ip-scanner.exe" utilizzando una tecnica chiamata process svuotamento. Successivamente, il file EXE iniettato decomprime due file aggiuntivi: "OneDrive.exe" e "Secur32.dll".
Il binario legittimo firmato Microsoft "OneDrive.exe" viene sfruttato per caricare "Secur32.dll" ed eseguire la backdoor shellcode. Innanzitutto, il malware stabilisce la persistenza sull'host creando un'attività pianificata e disabilitando Microsoft Defender Antivirus.
La backdoor MadMxShell esegue numerose azioni minacciose
Chiamata così per l'utilizzo delle query DNS MX per Command-and-Control (C2), la backdoor MadMxShell è progettata per raccogliere dati di sistema, eseguire comandi tramite cmd.exe ed eseguire operazioni fondamentali sui file come lettura, scrittura ed eliminazione di file.
Per comunicare con il suo server C2 ("litterbolo.com"), codifica i dati all'interno dei sottodomini del nome di dominio completo (FQDN) nei pacchetti di query DNS mail exchange (MX) e decifra i comandi incorporati nei pacchetti di risposta.
Utilizzando tattiche come il sideloading DLL multistadio e il tunneling DNS per la comunicazione C2, la backdoor mira a eludere le misure di sicurezza degli endpoint e della rete. Inoltre, utilizza metodi di evasione come l’anti-dumping per contrastare l’analisi della memoria e impedire le misure di sicurezza forense.
L'attore della minaccia dietro la backdoor MadMxShell ha obiettivi sconosciuti
Al momento non esistono indizi certi sull'origine o sulle intenzioni degli operatori di malware. Tuttavia, i ricercatori hanno scoperto due account da loro creati su forum criminali clandestini. Nello specifico, questi attori sono stati osservati partecipare a discussioni che offrivano metodi per creare account con soglia illimitata di Google AdSense già nel giugno 2023, suggerendo un vivo interesse nel lanciare una campagna di malvertising sostenuta.
Account e strategie per sfruttare le soglie di Google Ads vengono comunemente scambiati sui forum BlackHat. Questi metodi spesso forniscono agli autori delle minacce un mezzo per accumulare crediti per l'esecuzione di campagne Google Ads senza pagamento immediato, estendendo di fatto la durata delle loro campagne. Una soglia sufficientemente elevata consente agli autori delle minacce di sostenere le proprie campagne pubblicitarie per un periodo prolungato.
