A MadMxShell Backdoor rosszindulatú hirdetéseken keresztül terjed
A közelmúltban egy Google Ads szolgáltatással visszaélő rosszindulatú reklámkampány egy sor webhelyet foglal magában, amelyek egy legitim IP-leolvasó eszközre emlékeztetnek, és egy új MadMxShell nevű hátsó ajtót kívánnak terjeszteni. A Zscaler ThreatLabz kutatói azt találták, hogy a támadók számos hasonló domaint regisztráltak, typosquatting taktikával. A Google Ads segítségével népszerűsítették ezeket a domaineket, konkrét keresési kifejezéseket használva látogatók vonzására. 2023 novembere és 2024 márciusa között hozzávetőleg 45 tartomány jött létre, amelyek különféle szoftvereszközöknek, például az Advanced IP Scannernek és a ManageEngine-nek tűntek. Ez az első olyan eset, amikor ilyen módszert alkalmaztak egy összetett Windows hátsó ajtó terjesztésére.
A kezdeti támadás rosszindulatú JavaScripttel kezdődik
Az ezeket az eszközöket kereső áldozatokat olyan megtévesztő webhelyekre irányítják, amelyek rosszindulatú fájl letöltését indítják el ("Advanced-ip-scanner.zip"). A ZIP-fájlban két fájl található: „IVIEWERS.dll” és „Advanced-ip-scanner.exe”. Ez utóbbi DLL oldalbetöltést alkalmaz a fertőzési folyamat elindításához. A DLL ezután shellkódot fecskendez az EXE fájlba a folyamatürítéssel, amely kicsomagolja a további fájlokat – „OneDrive.exe” és „Secur32.dll”. A jogos OneDrive.exe fájlt visszaélnek a Secur32.dll betöltésére és a shellcode backdoor végrehajtására, miközben biztosítják a perzisztenciát és letiltják a Microsoft Defender Antivirus-t.
A MadMxShell Backdoor változatos eszközkészlettel érkezik
A hátsó ajtó, amely a DNS MX lekérdezések parancs- és vezérlésre (C2) használatáról kapta a nevét, olyan képességekkel rendelkezik, mint a rendszerinformációk összegyűjtése, a parancsok végrehajtása és a fájlok kezelése. DNS-alagút segítségével kommunikál a C2-kiszolgálóval ("litterbolo[.]com"), különféle technikákat alkalmazva a biztonsági intézkedések elkerülésére, beleértve a DLL-oldali betöltés több szakaszát és a dömpingellenes módszereket.
Bár a rosszindulatú programok üzemeltetőinek eredete és indítékai továbbra sem tisztázottak, Zscaler felfedezett két, velük kapcsolatban álló fiókot a földalatti fórumokon, amelyeket a wh8842480@gmail[.]com e-mail címen hoztak létre. Ezeken a fórumokon viták zajlottak a Google AdSense küszöbfiókok beállításával kapcsolatban, utalva a támadók érdeklődésére egy elhúzódó rosszindulatú hirdetési kampány iránt.