„MadMxShell Backdoor“ plinta per kenkėjiškus skelbimus

Neseniai vykusioje kenkėjiškos reklamos kampanijoje, kurioje piktnaudžiaujama „Google Ads“, yra daugybė svetainių, panašių į teisėtą IP skaitytuvo įrankį, kurių tikslas – platinti naujas užpakalines duris, pavadintas „MadMxShell“. „Zscaler ThreatLabz“ tyrėjai nustatė, kad užpuolikai užregistravo daugybę panašių domenų, naudodami klaidinimo taktiką. Jie naudojo „Google Ads“ šiems domenams reklamuoti ir naudojo konkrečius paieškos terminus lankytojams pritraukti. Nuo 2023 m. lapkričio mėn. iki 2024 m. kovo mėn. buvo sukurti maždaug 45 domenai, kurie buvo naudojami kaip įvairūs programinės įrangos įrankiai, pvz., „Advanced IP Scanner“ ir „ManageEngine“. Tai pirmasis atvejis, kai toks metodas buvo naudojamas sudėtingoms „Windows“ užpakalinėms durims paskleisti.

Pradinė ataka prasideda nuo kenkėjiško „JavaScript“.

Aukos, ieškančios šių įrankių, nukreipiamos į apgaulingas svetaines, kuriose yra „JavaScript“ kodas, suaktyvinantis kenkėjiško failo ("Advanced-ip-scanner.zip") atsisiuntimą. ZIP faile yra du failai: „IVIEWERS.dll“ ir „Advanced-ip-scanner.exe“. Pastarasis naudoja DLL šoninį įkėlimą, kad inicijuotų infekcijos procesą. Tada DLL įveda apvalkalo kodą į EXE failą per tuščiavidurį procesą, kuris išpakuoja papildomus failus – „OneDrive.exe“ ir „Secur32.dll“. Teisėtas OneDrive.exe yra piktnaudžiaujama siekiant įkelti Secur32.dll ir vykdyti apvalkalo kodo užpakalines duris, taip pat užtikrinant patvarumą ir išjungiant „Microsoft Defender Antivirus“.

„MadMxShell Backdoor“ yra su įvairiu įrankių rinkiniu

Užpakalinės durys, pavadintos dėl DNS MX užklausų naudojimo komandoms ir valdymui (C2), turi tokias galimybes kaip sistemos informacijos rinkimas, komandų vykdymas ir failų valdymas. Jis palaiko ryšį su C2 serveriu („litterbolo[.]com“), naudodamas DNS tuneliavimą, naudodamas įvairius metodus, kad išvengtų saugos priemonių, įskaitant kelis DLL šoninio įkėlimo ir antidempingo metodus.

Nors kenkėjiškų programų operatorių kilmė ir motyvai lieka neaiškūs, Zscaler pogrindiniuose forumuose atrado dvi su jais susijusias paskyras, sukurtas naudojant el. pašto adresą wh8842480@gmail[.]com. Šiuose forumuose vyko diskusijos, susijusios su „Google AdSense“ slenkstinių paskyrų nustatymu, užsimenama apie užpuolikų susidomėjimą užsitęsusia piktnaudžiavimo kampanija.