MadMxShell Bagdør spredes gennem ondsindede annoncer
En nylig malvertising-kampagne, der misbruger Google Ads, involverer en række websteder, der ligner et legitimt IP-scannerværktøj, med det formål at distribuere en ny bagdør ved navn MadMxShell. Forskere fra Zscaler ThreatLabz fandt ud af, at angriberne registrerede adskillige lignende domæner ved hjælp af typosquatting-taktik. De brugte Google Ads til at promovere disse domæner og udnyttede specifikke søgetermer til at tiltrække besøgende. Cirka 45 domæner blev oprettet mellem november 2023 og marts 2024, der udgjorde forskellige softwareværktøjer som Advanced IP Scanner og ManageEngine. Dette markerer det første tilfælde, hvor en sådan metode er blevet brugt til at sprede en kompleks Windows-bagdør.
Indledende angreb starter med ondsindet JavaScript
Ofre, der søger efter disse værktøjer, ledes til vildledende websteder, der indeholder JavaScript-kode, der udløser download af en ondsindet fil ("Advanced-ip-scanner.zip"). Inde i ZIP-filen er der to filer: "IVIEWERS.dll" og "Advanced-ip-scanner.exe." Sidstnævnte anvender DLL side-loading til at starte infektionsprocessen. DLL'en injicerer derefter shellcode i EXE-filen via procesudhulning, som pakker yderligere filer ud - "OneDrive.exe" og "Secur32.dll." Den legitime OneDrive.exe misbruges til at indlæse Secur32.dll og udføre shellcode-bagdøren, samtidig med at den etablerer persistens og deaktiverer Microsoft Defender Antivirus.
MadMxShell Bagdør leveres med forskelligt værktøjssæt
Bagdøren, der er opkaldt efter sin brug af DNS MX-forespørgsler til kommando-og-kontrol (C2), har funktioner som indsamling af systemoplysninger, udførelse af kommandoer og håndtering af filer. Den kommunikerer med C2-serveren ("litterbolo[.]com") ved hjælp af DNS-tunneling, der anvender forskellige teknikker til at omgå sikkerhedsforanstaltninger, herunder flere stadier af DLL-sideindlæsning og anti-dumping-metoder.
Selvom oprindelsen og motiverne af malware-operatørerne forbliver uklare, opdagede Zscaler to konti forbundet med dem på underjordiske fora, oprettet ved hjælp af e-mailadressen wh8842480@gmail[.]com. Disse fora har set diskussioner relateret til opsætning af Google AdSense-tærskelkonti, hvilket tyder på angribernes interesse i en langvarig malvertising-kampagne.
