MadMxShell బ్యాక్డోర్
MadMxShell అనే కొత్తగా కనుగొనబడిన బ్యాక్డోర్ను పంపిణీ చేయడానికి చట్టబద్ధమైన IP స్కానర్ సాఫ్ట్వేర్ను అనుకరించే వెబ్సైట్ల సమూహాన్ని Google మాల్వర్టైజింగ్ పథకం ఉపయోగిస్తోంది. దాడి చేసే వ్యక్తులు టైపోస్క్వాటింగ్ ద్వారా అనేక సారూప్య డొమైన్లను నమోదు చేసుకున్నారు మరియు శోధన ఫలితాల్లో ఈ సైట్లను పెంచడానికి Google ప్రకటనలను ఉపయోగిస్తున్నారు, సందేహించని సందర్శకులను ఆకర్షించడానికి నిర్దిష్ట కీలకపదాలను లక్ష్యంగా చేసుకున్నారు.
నవంబర్ 2023 మరియు మార్చి 2024 మధ్య, అధునాతన IP స్కానర్, యాంగ్రీ IP స్కానర్, IP స్కానర్ PRTG మరియు ManageEngine వంటి వివిధ పోర్ట్ స్కానింగ్ మరియు IT మేనేజ్మెంట్ సాఫ్ట్వేర్లుగా నటిస్తూ దాదాపు 45 డొమైన్లు నమోదు చేయబడ్డాయి.
నకిలీ వెబ్సైట్ల ద్వారా మాల్వేర్ను పంపిణీ చేయడానికి మాల్వర్టైజింగ్ వ్యూహాలు ఇంతకు ముందు ఉపయోగించబడినప్పటికీ, సంక్లిష్టమైన విండోస్ బ్యాక్డోర్ను వ్యాప్తి చేయడానికి ఇటువంటి పద్ధతిని ఉపయోగించడం మొదటి ఉదాహరణగా ఈ సంఘటన సూచిస్తుంది.
విషయ సూచిక
బెదిరింపు నటులు శక్తివంతమైన బ్యాక్డోర్ మాల్వేర్ను డెలివరీ చేయడానికి నకిలీ వెబ్సైట్లతో వినియోగదారులను ఆకర్షిస్తారు
ఈ సాధనాల కోసం శోధించే వినియోగదారులు JavaScript కోడ్ను కలిగి ఉన్న మోసపూరిత వెబ్సైట్లకు మళ్లించబడతారు, ఇది డౌన్లోడ్ బటన్ను క్లిక్ చేసినప్పుడు 'Advanced-ip-scanner.zip' పేరుతో ఒక హానికరమైన ఫైల్ డౌన్లోడ్ను ట్రిగ్గర్ చేస్తుంది.
జిప్ ఆర్కైవ్లో, రెండు ఫైల్లు ఉన్నాయి: 'IVIEWERS.dll' మరియు 'Advanced-ip-scanner.exe.' రెండోది 'IVIEWERS.dll'ని లోడ్ చేయడానికి మరియు ఇన్ఫెక్షన్ ప్రక్రియను ప్రారంభించడానికి DLL సైడ్-లోడింగ్ని ఉపయోగిస్తుంది.
DLL ఫైల్ ప్రాసెస్ హోలోయింగ్ అనే టెక్నిక్ని ఉపయోగించి 'Advanced-ip-scanner.exe' ప్రక్రియలో పొందుపరిచిన షెల్కోడ్ను ఇంజెక్ట్ చేస్తుంది. తర్వాత, ఇంజెక్ట్ చేయబడిన EXE ఫైల్ రెండు అదనపు ఫైల్లను అన్ప్యాక్ చేస్తుంది - 'OneDrive.exe' మరియు 'Secur32.dll'.
చట్టబద్ధమైన సంతకం చేయబడిన Microsoft బైనరీ 'OneDrive.exe' 'Secur32.dll'ని లోడ్ చేయడానికి మరియు షెల్కోడ్ బ్యాక్డోర్ను అమలు చేయడానికి ఉపయోగించబడింది. ముందుగా, మాల్వేర్ షెడ్యూల్ చేసిన పనిని సృష్టించడం ద్వారా మరియు మైక్రోసాఫ్ట్ డిఫెండర్ యాంటీవైరస్ని నిలిపివేయడం ద్వారా హోస్ట్పై పట్టుదలను ఏర్పరుస్తుంది.
MadMxShell బ్యాక్డోర్ అనేక బెదిరింపు చర్యలను చేస్తుంది
కమాండ్-అండ్-కంట్రోల్ (C2) కోసం DNS MX ప్రశ్నల వినియోగానికి పేరు పెట్టబడింది, MadMxShell బ్యాక్డోర్ సిస్టమ్ డేటాను సేకరించడానికి, cmd.exe ద్వారా ఆదేశాలను అమలు చేయడానికి మరియు ఫైల్లను చదవడం, వ్రాయడం మరియు తొలగించడం వంటి ప్రాథమిక ఫైల్ కార్యకలాపాలను నిర్వహించడానికి ఇంజనీరింగ్ చేయబడింది.
దాని C2 సర్వర్ ('litterbolo.com')తో కమ్యూనికేట్ చేయడానికి, ఇది DNS మెయిల్ ఎక్స్ఛేంజ్ (MX) క్వెరీ ప్యాకెట్లలోని పూర్తిగా క్వాలిఫైడ్ డొమైన్ నేమ్ (FQDN) సబ్డొమైన్లలోని డేటాను ఎన్కోడ్ చేస్తుంది మరియు ప్రతిస్పందన ప్యాకెట్లలో పొందుపరిచిన డిసిఫర్ కమాండ్లు.
C2 కమ్యూనికేషన్ కోసం బహుళ-దశల DLL సైడ్-లోడింగ్ మరియు DNS టన్నెలింగ్ వంటి వ్యూహాలను అమలు చేయడం, బ్యాక్డోర్ ఎండ్పాయింట్ మరియు నెట్వర్క్ భద్రతా చర్యలను తప్పించుకోవడం లక్ష్యంగా పెట్టుకుంది. అదనంగా, ఇది మెమరీ విశ్లేషణను అడ్డుకోవడానికి మరియు ఫోరెన్సిక్ భద్రతా చర్యలను అడ్డుకోవడానికి యాంటీ-డంపింగ్ వంటి ఎగవేత పద్ధతులను ఉపయోగిస్తుంది.
MadMxShell బ్యాక్డోర్ వెనుక ఉన్న థ్రెట్ యాక్టర్కు తెలియని లక్ష్యాలు ఉన్నాయి
మాల్వేర్ ఆపరేటర్ల మూలం లేదా ఉద్దేశాలకు సంబంధించి ప్రస్తుతం ఖచ్చితమైన ఆధారాలు లేవు. అయితే, క్రిమినల్ అండర్గ్రౌండ్ ఫోరమ్లలో వారు సృష్టించిన రెండు ఖాతాలను పరిశోధకులు కనుగొన్నారు. ప్రత్యేకించి, ఈ నటీనటులు జూన్ 2023 నాటికి అపరిమిత Google AdSense థ్రెషోల్డ్ ఖాతాలను స్థాపించడానికి పద్ధతులను అందించే చర్చలలో పాల్గొనడం గమనించబడింది, ఇది నిరంతర మాల్వర్టైజింగ్ ప్రచారాన్ని ప్రారంభించడంలో ఆసక్తిని సూచిస్తుంది.
Google ప్రకటనల థ్రెషోల్డ్లను ఉపయోగించడం కోసం ఖాతాలు మరియు వ్యూహాలు సాధారణంగా BlackHat ఫోరమ్లలో మార్పిడి చేయబడతాయి. ఈ పద్ధతులు తరచుగా తక్షణ చెల్లింపు లేకుండా Google ప్రకటనల ప్రచారాలను అమలు చేయడం కోసం ముప్పు నటీనటులకు క్రెడిట్లను కూడగట్టుకునే మార్గాన్ని అందిస్తాయి, వారి ప్రచారాల వ్యవధిని సమర్థవంతంగా పొడిగిస్తాయి. తగినంత అధిక థ్రెషోల్డ్ బెదిరింపు నటులను వారి ప్రకటన ప్రచారాలను ఎక్కువ కాలం కొనసాగించడానికి అనుమతిస్తుంది.