MadMxShell Arka Kapısı
Google'ın kötü amaçlı reklamcılık planı, yeni keşfedilen MadMxShell arka kapısını dağıtmak için meşru IP tarayıcı yazılımını taklit eden bir grup web sitesini kullanıyor. Saldırganlar, yazım hatası yoluyla çok sayıda benzer görünen alan adını kaydetti ve bu siteleri arama sonuçlarında öne çıkarmak için Google Ads'i kullanıyor ve şüphelenmeyen ziyaretçileri çekmek için belirli anahtar kelimeleri hedefliyor.
Kasım 2023 ile Mart 2024 arasında, Advanced IP Scanner, Angry IP Scanner, IP tarayıcı PRTG ve ManageEngine gibi çeşitli bağlantı noktası tarama ve BT yönetimi yazılımı gibi görünen yaklaşık 45 alan adı kaydedildi.
Kötü amaçlı reklamcılık taktikleri daha önce sahte web siteleri aracılığıyla kötü amaçlı yazılım dağıtmak için kullanılmış olsa da, bu olay, karmaşık bir Windows arka kapısını yaymak için böyle bir yöntemin kullanıldığı ilk örneği oluşturuyor.
İçindekiler
Tehdit Aktörleri, Güçlü Arka Kapı Kötü Amaçlı Yazılım Sunmak İçin Kullanıcıları Sahte Web Siteleriyle Cezbediyor
Bu araçları arayan kullanıcılar, indirme düğmesine tıklandığında 'Advanced-ip-scanner.zip' adlı kötü amaçlı bir dosyanın indirilmesini tetikleyen, JavaScript kodu içeren sahte web sitelerine yönlendiriliyor.
ZIP arşivinde iki dosya vardır: 'IVIEWERS.dll' ve 'Advanced-ip-scanner.exe.' İkincisi, 'IVIEWERS.dll'yi yüklemek ve enfeksiyon sürecini başlatmak için DLL yan yüklemesini kullanır.
DLL dosyası, süreç oyma adı verilen bir teknik kullanarak gömülü kabuk kodunu 'Advanced-ip-scanner.exe' sürecine enjekte eder. Daha sonra, enjekte edilen EXE dosyası iki ek dosyayı açar: 'OneDrive.exe' ve 'Secur32.dll'.
Meşru imzalı Microsoft ikili dosyası 'OneDrive.exe', 'Secur32.dll'yi yüklemek ve kabuk kodu arka kapısını yürütmek için kullanılıyor. Kötü amaçlı yazılım, önceden zamanlanmış bir görev oluşturarak ve Microsoft Defender Antivirus'ü devre dışı bırakarak ana bilgisayarda kalıcılık sağlar.
MadMxShell Arka Kapısı Çok Sayıda Tehdit Edici Eylem Gerçekleştiriyor
Adını Komuta ve Kontrol (C2) için DNS MX sorgularından yararlanmasıyla alan MadMxShell arka kapısı, sistem verilerini toplamak, cmd.exe aracılığıyla komutları yürütmek ve dosyaları okumak, yazmak ve silmek gibi temel dosya işlemlerini yürütmek üzere tasarlanmıştır.
C2 sunucusuyla ('litterbolo.com') iletişim kurmak için, DNS posta alışverişi (MX) sorgu paketlerindeki Tam Nitelikli Etki Alanı Adının (FQDN) alt etki alanları içindeki verileri kodlar ve yanıt paketlerine gömülü komutların şifresini çözer.
C2 iletişimi için çok aşamalı DLL yüklemesi ve DNS tüneli oluşturma gibi taktikleri kullanan arka kapı, uç nokta ve ağ güvenliği önlemlerinden kaçmayı amaçlıyor. Ek olarak, bellek analizini engellemek ve adli güvenlik önlemlerini engellemek için anti-damping gibi kaçırma yöntemlerini kullanır.
MadMxShell Arka Kapısının Arkasındaki Tehdit Aktörünün Bilinmeyen Hedefleri Var
Şu anda kötü amaçlı yazılım operatörlerinin kökeni veya niyetleri hakkında kesin bir ipucu bulunmuyor. Ancak araştırmacılar, yeraltı suç forumlarında kendileri tarafından oluşturulan iki hesabı ortaya çıkardı. Spesifik olarak, bu aktörlerin Haziran 2023'e kadar sınırsız Google AdSense eşikli hesapları oluşturmaya yönelik yöntemler sunan tartışmalara katıldıkları gözlemlendi; bu da, sürekli bir kötü amaçlı reklamcılık kampanyası başlatmaya büyük ilgi duyduklarını gösteriyor.
Google Ads eşiklerinden yararlanmaya yönelik hesaplar ve stratejiler genellikle BlackHat forumlarında paylaşılır. Bu yöntemler genellikle tehdit aktörlerinin Google Ads kampanyalarını anında ödeme yapmadan yayınlamak için kredi biriktirmelerine olanak tanıyarak kampanyalarının süresini etkili bir şekilde uzatır. Yeterince yüksek bir eşik, tehdit aktörlerinin reklam kampanyalarını uzun süre sürdürmesine olanak tanır.
