MadMxShell Backdoor
Schéma škodlivej inzercie spoločnosti Google využíva skupinu webových stránok, ktoré napodobňujú legitímny softvér na skenovanie IP adries, na distribúciu novoobjavených zadných vrátok s názvom MadMxShell. Útočníci zaregistrovali množstvo podobne vyzerajúcich domén prostredníctvom preklepov a pomocou služby Google Ads posilňujú tieto stránky vo výsledkoch vyhľadávania, pričom sa zameriavajú na konkrétne kľúčové slová, aby prilákali nič netušiacich návštevníkov.
V období od novembra 2023 do marca 2024 bolo zaregistrovaných približne 45 domén, ktoré predstierali, že ide o rôzne softvéry na skenovanie portov a správu IT, ako napríklad Advanced IP Scanner, Angry IP Scanner, IP skener PRTG a ManageEngine.
Aj keď sa na distribúciu škodlivého softvéru prostredníctvom falošných webových stránok používali taktiky škodlivej inzercie, tento incident predstavuje prvý prípad použitia takejto metódy na šírenie zložitého zadného vrátka systému Windows.
Obsah
Aktéri hrozieb lákajú používateľov falošnými webovými stránkami, aby priniesli silný backdoor malvér
Používatelia, ktorí hľadajú tieto nástroje, sú presmerovaní na podvodné webové stránky obsahujúce kód JavaScript, ktorý po kliknutí na tlačidlo sťahovania spúšťa sťahovanie škodlivého súboru s názvom „Advanced-ip-scanner.zip“.
V archíve ZIP sú dva súbory: 'IVIEWERS.dll' a 'Advanced-ip-scanner.exe.' Ten využíva načítanie knižnice DLL na načítanie súboru 'IVIEWERS.dll' a spustenie procesu infekcie.
Súbor DLL vloží vložený kód shellu do procesu 'Advanced-ip-scanner.exe' pomocou techniky nazývanej procesné vyhĺbenie. Potom vložený súbor EXE rozbalí dva ďalšie súbory – „OneDrive.exe“ a „Secur32.dll“.
Legitímny podpísaný binárny súbor Microsoft 'OneDrive.exe' sa využíva na načítanie 'Secur32.dll' a spustenie backdoor shell kódu. Malvér predtým vytvorí pretrvávanie na hostiteľovi vytvorením naplánovanej úlohy a zakázaním antivírusu Microsoft Defender.
MadMxShell Backdoor vykonáva množstvo ohrozujúcich akcií
Zadné vrátka MadMxShell, pomenované pre využitie dopytov DNS MX pre príkazy a ovládanie (C2), sú navrhnuté tak, aby zhromažďovali systémové údaje, spúšťali príkazy cez cmd.exe a vykonávali základné operácie so súbormi, ako je čítanie, zápis a odstraňovanie súborov.
Na komunikáciu so svojím serverom C2 („litterbolo.com“) kóduje údaje v rámci subdomén plne kvalifikovaného názvu domény (FQDN) v paketoch dotazov na výmenu pošty DNS (MX) a dešifruje príkazy vložené do paketov odpovedí.
Pomocou taktiky, ako je viacstupňové načítanie DLL zboku a tunelovanie DNS pre komunikáciu C2, sa zadné vrátka snažia vyhnúť opatreniam zabezpečenia koncového bodu a siete. Okrem toho využíva metódy vyhýbania sa riziku, ako je antidumping na zmarenie analýzy pamäte a sťaženie forenzných bezpečnostných opatrení.
Hrozivý herec za MadMxShell Backdoor má neznáme ciele
V súčasnosti neexistujú žiadne definitívne stopy týkajúce sa pôvodu alebo zámerov prevádzkovateľov škodlivého softvéru. Výskumníci však odhalili dva účty, ktoré vytvorili na kriminálnych podzemných fórach. Konkrétne boli títo aktéri pozorovaní, ako sa zúčastňujú diskusií ponúkajúcich metódy na zriadenie neobmedzených účtov Google AdSense s limitom už v júni 2023, čo naznačuje veľký záujem o spustenie trvalej kampane zameranej na malovú reklamu.
Účty a stratégie na využívanie limitov Google Ads sa bežne vymieňajú na fórach BlackHat. Tieto metódy často poskytujú aktérom hrozieb prostriedky na zhromažďovanie kreditov za prevádzkovanie kampaní Google Ads bez okamžitej platby, čím sa efektívne predlžuje trvanie ich kampaní. Dostatočne vysoká prahová hodnota umožňuje aktérom ohrozenia udržiavať svoje reklamné kampane počas dlhšieho obdobia.
