MadMxShell-Backdoor verbreitet sich über bösartige Anzeigen

Eine aktuelle Malvertising-Kampagne, die Google Ads missbraucht, umfasst eine Reihe von Websites, die einem legitimen IP-Scanner-Tool ähneln und darauf abzielen, eine neue Backdoor namens MadMxShell zu verbreiten. Forscher von Zscaler ThreatLabz fanden heraus, dass die Angreifer zahlreiche ähnliche Domains mithilfe von Typosquatting-Taktiken registrierten. Sie nutzten Google Ads, um diese Domains zu bewerben, und nutzten bestimmte Suchbegriffe, um Besucher anzulocken. Zwischen November 2023 und März 2024 wurden etwa 45 Domains erstellt, die sich als verschiedene Softwaretools wie Advanced IP Scanner und ManageEngine ausgaben. Dies ist der erste Fall, in dem eine solche Methode verwendet wurde, um eine komplexe Windows-Backdoor zu verbreiten.

Der erste Angriff beginnt mit bösartigem JavaScript

Opfer, die nach diesen Tools suchen, werden auf betrügerische Websites mit JavaScript-Code umgeleitet, der den Download einer schädlichen Datei („Advanced-ip-scanner.zip“) auslöst. In der ZIP-Datei befinden sich zwei Dateien: „IVIEWERS.dll“ und „Advanced-ip-scanner.exe“. Letztere verwendet DLL-Sideloading, um den Infektionsprozess einzuleiten. Die DLL fügt dann über Process Hollowing Shellcode in die EXE-Datei ein, wodurch zusätzliche Dateien entpackt werden – „OneDrive.exe“ und „Secur32.dll“. Die legitime OneDrive.exe wird missbraucht, um Secur32.dll zu laden und die Shellcode-Hintertür auszuführen, während gleichzeitig Persistenz hergestellt und Microsoft Defender Antivirus deaktiviert wird.

MadMxShell-Backdoor verfügt über ein umfangreiches Toolkit

Die Backdoor, die nach ihrer Verwendung von DNS-MX-Abfragen für Command-and-Control (C2) benannt ist, kann Systeminformationen sammeln, Befehle ausführen und Dateien verwalten. Sie kommuniziert mit dem C2-Server („litterbolo[.]com“) über DNS-Tunneling und verwendet verschiedene Techniken, um Sicherheitsmaßnahmen zu umgehen, darunter mehrere Stufen des Sideloading von DLLs und Anti-Dumping-Methoden.

Obwohl Herkunft und Motive der Malware-Betreiber unklar bleiben, entdeckte Zscaler in Untergrundforen zwei mit ihnen verbundene Konten, die mit der E-Mail-Adresse wh8842480@gmail[.]com erstellt wurden. In diesen Foren wurde über die Einrichtung von Google AdSense-Schwellenkonten diskutiert, was darauf hindeutet, dass die Angreifer an einer längeren Malvertising-Kampagne interessiert sind.