MadMxShell-achterdeur
Een malvertisingprogramma van Google gebruikt een groep websites die legitieme IP-scannersoftware nabootsen om een nieuw ontdekte achterdeur genaamd MadMxShell te verspreiden. De aanvallers hebben via typosquatting talloze op elkaar lijkende domeinen geregistreerd en gebruiken Google Ads om deze sites een boost te geven in de zoekresultaten, waarbij ze specifieke zoekwoorden targeten om nietsvermoedende bezoekers aan te trekken.
Tussen november 2023 en maart 2024 werden ongeveer 45 domeinen geregistreerd, die zich voordeden als verschillende poortscan- en IT-beheersoftware zoals Advanced IP Scanner, Angry IP Scanner, IP-scanner PRTG en ManageEngine.
Hoewel malvertising-tactieken al eerder zijn gebruikt om malware via nepwebsites te verspreiden, is dit incident het eerste voorbeeld van een dergelijke methode die wordt gebruikt om een complexe Windows-achterdeur te verspreiden.
Inhoudsopgave
Bedreigingsactoren lokken gebruikers met valse websites om krachtige backdoor-malware te leveren
Gebruikers die naar deze tools zoeken, worden doorgestuurd naar frauduleuze websites die JavaScript-code bevatten die het downloaden van een kwaadaardig bestand met de naam 'Advanced-ip-scanner.zip' activeert wanneer op de downloadknop wordt geklikt.
Binnen het ZIP-archief bevinden zich twee bestanden: 'IVIEWERS.dll' en 'Advanced-ip-scanner.exe.' Deze laatste maakt gebruik van DLL side-loading om 'IVIEWERS.dll' te laden en het infectieproces te starten.
Het DLL-bestand injecteert ingebedde shellcode in het proces 'Advanced-ip-scanner.exe' met behulp van een techniek die procesuitholling wordt genoemd. Daarna pakt het geïnjecteerde EXE-bestand twee extra bestanden uit: 'OneDrive.exe' en 'Secur32.dll'.
Het legitieme ondertekende binaire bestand 'OneDrive.exe' van Microsoft wordt misbruikt om 'Secur32.dll' te laden en de achterdeur van de shellcode uit te voeren. Vooraf zorgt de malware voor persistentie op de host door een geplande taak te maken en Microsoft Defender Antivirus uit te schakelen.
De MadMxShell-achterdeur voert talloze bedreigende acties uit
De MadMxShell-achterdeur, genoemd naar het gebruik van DNS MX-query's voor Command-and-Control (C2), is ontworpen om systeemgegevens te verzamelen, opdrachten uit te voeren via cmd.exe en fundamentele bestandsbewerkingen uit te voeren, zoals het lezen, schrijven en verwijderen van bestanden.
Om met zijn C2-server ('litterbolo.com') te communiceren, codeert het gegevens binnen de subdomeinen van de Fully Qualified Domain Name (FQDN) in DNS mail exchange (MX)-querypakketten en ontcijfert het opdrachten die zijn ingebed in antwoordpakketten.
Door gebruik te maken van tactieken als meerfasige DLL-side-loading en DNS-tunneling voor C2-communicatie, probeert de achterdeur eindpunt- en netwerkbeveiligingsmaatregelen te omzeilen. Bovendien maakt het gebruik van ontwijkingsmethoden zoals antidumping om geheugenanalyse te dwarsbomen en forensische veiligheidsmaatregelen te belemmeren.
De bedreigingsacteur achter de MadMxShell-achterdeur heeft onbekende doelen
Er zijn momenteel geen definitieve aanwijzingen over de oorsprong of bedoelingen van de malware-exploitanten. Onderzoekers hebben echter twee accounts ontdekt die door hen op criminele ondergrondse forums zijn aangemaakt. Er is met name waargenomen dat deze actoren al in juni 2023 deelnamen aan discussies waarin methoden werden aangeboden om onbeperkte Google AdSense-drempelaccounts op te zetten, wat erop wijst dat er grote belangstelling bestaat voor het lanceren van een aanhoudende malvertisingcampagne.
Accounts en strategieën voor het misbruiken van Google Ads-drempels worden vaak uitgewisseld op BlackHat-forums. Deze methoden bieden bedreigingsactoren vaak een manier om credits te verzamelen voor het uitvoeren van Google Ads-campagnes zonder onmiddellijke betaling, waardoor de duur van hun campagnes effectief wordt verlengd. Een voldoende hoge drempel stelt dreigingsactoren in staat hun advertentiecampagnes gedurende een langere periode vol te houden.
