Backdoor MadMxShell rozprzestrzenia się poprzez złośliwe reklamy
Niedawna kampania złośliwych reklam wykorzystująca Google Ads obejmuje szereg witryn przypominających legalne narzędzie do skanowania adresów IP, których celem jest dystrybucja nowego backdoora o nazwie MadMxShell. Badacze z Zscaler ThreatLabz odkryli, że napastnicy zarejestrowali wiele podobnych domen, stosując taktykę literówek. Wykorzystali Google Ads do promowania tych domen, wykorzystując określone wyszukiwane hasła, aby przyciągnąć użytkowników. Między listopadem 2023 r. a marcem 2024 r. utworzono około 45 domen udających różne narzędzia programowe, takie jak Advanced IP Scanner i ManageEngine. Jest to pierwszy przypadek użycia takiej metody do rozprzestrzenienia złożonego backdoora systemu Windows.
Początkowy atak rozpoczyna się od złośliwego kodu JavaScript
Ofiary wyszukujące te narzędzia są kierowane na zwodnicze strony internetowe zawierające kod JavaScript, który powoduje pobranie złośliwego pliku („Advanced-ip-scanner.zip”). Wewnątrz pliku ZIP znajdują się dwa pliki: „IVIEWERS.dll” i „Advanced-ip-scanner.exe”. Ten ostatni wykorzystuje boczne ładowanie bibliotek DLL w celu zainicjowania procesu infekcji. Następnie biblioteka DLL wstrzykuje kod powłoki do pliku EXE poprzez drążenie procesu, które rozpakowuje dodatkowe pliki – „OneDrive.exe” i „Secur32.dll”. Prawdziwy plik OneDrive.exe jest wykorzystywany do ładowania pliku Secur32.dll i uruchamiania backdoora z kodem powłoki, a także ustanawiania trwałości i wyłączania programu antywirusowego Microsoft Defender.
Backdoor MadMxShell jest dostarczany z różnorodnym zestawem narzędzi
Backdoor, nazwany tak ze względu na wykorzystanie zapytań DNS MX do celów wydawania poleceń i kontroli (C2), ma takie możliwości, jak zbieranie informacji o systemie, wykonywanie poleceń i zarządzanie plikami. Komunikuje się z serwerem C2 („litterbolo[.]com”) za pomocą tunelowania DNS, wykorzystując różne techniki w celu obejścia środków bezpieczeństwa, w tym wieloetapowe boczne ładowanie bibliotek DLL i metody antydumpingowe.
Chociaż pochodzenie i motywy operatorów szkodliwego oprogramowania pozostają niejasne, Zscaler odkrył dwa powiązane z nimi konta na nielegalnych forach, utworzone przy użyciu adresu e-mail wh8842480@gmail[.]com. Na tych forach toczyły się dyskusje związane z konfiguracją progowych kont Google AdSense, co wskazywało na zainteresowanie osób atakujących przedłużającą się kampanią zawierającą złośliwe reklamy.