Το MadMxShell Backdoor διαδίδεται μέσω κακόβουλων διαφημίσεων
Μια πρόσφατη καμπάνια κακόβουλης διαφήμισης που καταχράται το Google Ads περιλαμβάνει μια σειρά από ιστότοπους που μοιάζουν με ένα νόμιμο εργαλείο σαρωτή IP, με στόχο τη διανομή ενός νέου backdoor με το όνομα MadMxShell. Ερευνητές από το Zscaler ThreatLabz ανακάλυψαν ότι οι εισβολείς κατέγραψαν πολλούς παρόμοιους τομείς χρησιμοποιώντας τακτικές typosquatting. Χρησιμοποίησαν το Google Ads για την προώθηση αυτών των τομέων, εκμεταλλευόμενοι συγκεκριμένους όρους αναζήτησης για να προσελκύσουν επισκέπτες. Περίπου 45 τομείς δημιουργήθηκαν μεταξύ Νοεμβρίου 2023 και Μαρτίου 2024, που παρουσιάζονται ως διάφορα εργαλεία λογισμικού όπως το Advanced IP Scanner και το ManageEngine. Αυτό σηματοδοτεί την πρώτη περίπτωση όπου μια τέτοια μέθοδος έχει χρησιμοποιηθεί για την εξάπλωση ενός πολύπλοκου backdoor των Windows.
Η αρχική επίθεση ξεκινά με κακόβουλη JavaScript
Τα θύματα που αναζητούν αυτά τα εργαλεία κατευθύνονται σε παραπλανητικούς ιστότοπους που περιέχουν κώδικα JavaScript που ενεργοποιεί τη λήψη ενός κακόβουλου αρχείου ("Advanced-ip-scanner.zip"). Μέσα στο αρχείο ZIP υπάρχουν δύο αρχεία: "IVIEWERS.dll" και "Advanced-ip-scanner.exe". Το τελευταίο χρησιμοποιεί πλευρική φόρτωση DLL για να ξεκινήσει η διαδικασία μόλυνσης. Στη συνέχεια, το DLL εισάγει τον κώδικα φλοιού στο αρχείο EXE μέσω διεργασίας hollowing, το οποίο αποσυσκευάζει πρόσθετα αρχεία - "OneDrive.exe" και "Secur32.dll". Το νόμιμο OneDrive.exe γίνεται κατάχρηση για τη φόρτωση του Secur32.dll και την εκτέλεση της κερκόπορτας του shellcode, ενώ ταυτόχρονα εδραιώνεται η επιμονή και απενεργοποιείται το Microsoft Defender Antivirus.
Το MadMxShell Backdoor συνοδεύεται από ποικίλο κιτ εργαλείων
Η κερκόπορτα, που πήρε το όνομά της από τη χρήση ερωτημάτων DNS MX για εντολές και έλεγχο (C2), έχει δυνατότητες όπως η συλλογή πληροφοριών συστήματος, η εκτέλεση εντολών και η διαχείριση αρχείων. Επικοινωνεί με τον διακομιστή C2 ("litterbolo[.]com") χρησιμοποιώντας σήραγγα DNS, χρησιμοποιώντας διάφορες τεχνικές για την αποφυγή μέτρων ασφαλείας, συμπεριλαμβανομένων πολλαπλών σταδίων πλευρικής φόρτωσης DLL και μεθόδων αντιντάμπινγκ.
Αν και η προέλευση και τα κίνητρα των χειριστών κακόβουλου λογισμικού παραμένουν ασαφή, ο Zscaler ανακάλυψε δύο λογαριασμούς που σχετίζονται με αυτούς σε υπόγεια φόρουμ, που δημιουργήθηκαν χρησιμοποιώντας τη διεύθυνση email wh8842480@gmail[.]com. Σε αυτά τα φόρουμ έγιναν συζητήσεις σχετικά με τη δημιουργία λογαριασμών ορίου Google AdSense, υπονοώντας το ενδιαφέρον των εισβολέων για μια παρατεταμένη καμπάνια κακόβουλης διαφήμισης.