MadMxShell Bakdør spres gjennom ondsinnede annonser
En nylig malvertising-kampanje som misbruker Google Ads involverer en rekke nettsteder som ligner et legitimt IP-skannerverktøy, som tar sikte på å distribuere en ny bakdør kalt MadMxShell. Forskere fra Zscaler ThreatLabz fant at angriperne registrerte mange lignende domener ved å bruke typosquatting-taktikker. De brukte Google Ads for å markedsføre disse domenene, og utnyttet spesifikke søkeord for å tiltrekke seg besøkende. Omtrent 45 domener ble opprettet mellom november 2023 og mars 2024, og poserte som ulike programvareverktøy som Advanced IP Scanner og ManageEngine. Dette markerer det første tilfellet hvor en slik metode har blitt brukt for å spre en kompleks Windows-bakdør.
Innledende angrep starter med skadelig JavaScript
Ofre som søker etter disse verktøyene blir sendt til villedende nettsteder som inneholder JavaScript-kode som utløser nedlasting av en ondsinnet fil ("Advanced-ip-scanner.zip"). Inne i ZIP-filen er to filer: "IVIEWERS.dll" og "Advanced-ip-scanner.exe." Sistnevnte bruker DLL-sidelasting for å starte infeksjonsprosessen. DLL-en injiserer deretter skallkode i EXE-filen via prosessuthulling, som pakker ut flere filer – "OneDrive.exe" og "Secur32.dll." Den legitime OneDrive.exe blir misbrukt til å laste Secur32.dll og kjøre bakdøren med skallkoden, samtidig som den etablerer utholdenhet og deaktiverer Microsoft Defender Antivirus.
MadMxShell bakdør leveres med diverse verktøysett
Bakdøren, oppkalt etter bruken av DNS MX-spørringer for kommando-og-kontroll (C2), har muligheter som å samle systeminformasjon, utføre kommandoer og administrere filer. Den kommuniserer med C2-serveren ("litterbolo[.]com") ved hjelp av DNS-tunneling, og bruker forskjellige teknikker for å unngå sikkerhetstiltak, inkludert flere stadier av DLL-sidelasting og anti-dumping-metoder.
Selv om opprinnelsen og motivene til skadevareoperatørene fortsatt er uklare, oppdaget Zscaler to kontoer knyttet til dem på underjordiske fora, opprettet med e-postadressen wh8842480@gmail[.]com. Disse foraene har sett diskusjoner knyttet til å sette opp Google AdSense-terskelkontoer, noe som tyder på angripernes interesse for en langvarig malvertising-kampanje.