La puerta trasera MadMxShell se propaga a través de anuncios maliciosos

Una reciente campaña de publicidad maliciosa que abusa de Google Ads involucra una serie de sitios web que se asemejan a una herramienta legítima de escaneo de IP, con el objetivo de distribuir una nueva puerta trasera llamada MadMxShell. Los investigadores de Zscaler ThreatLabz descubrieron que los atacantes registraron numerosos dominios similares utilizando tácticas de typosquatting. Utilizaron Google Ads para promocionar estos dominios, explotando términos de búsqueda específicos para atraer visitantes. Se crearon aproximadamente 45 dominios entre noviembre de 2023 y marzo de 2024, haciéndose pasar por varias herramientas de software como Advanced IP Scanner y ManageEngine. Este es el primer caso en el que se utiliza un método de este tipo para difundir una puerta trasera compleja de Windows.

El ataque inicial comienza con JavaScript malicioso

Las víctimas que buscan estas herramientas son dirigidas a sitios web engañosos que contienen código JavaScript que desencadena la descarga de un archivo malicioso ("Advanced-ip-scanner.zip"). Dentro del archivo ZIP hay dos archivos: "IVIEWERS.dll" y "Advanced-ip-scanner.exe". Este último emplea carga lateral de DLL para iniciar el proceso de infección. Luego, la DLL inyecta shellcode en el archivo EXE mediante el proceso de vaciado, que descomprime archivos adicionales: "OneDrive.exe" y "Secur32.dll". Se abusa del OneDrive.exe legítimo para cargar Secur32.dll y ejecutar la puerta trasera del código shell, al mismo tiempo que se establece la persistencia y se desactiva Microsoft Defender Antivirus.

La puerta trasera MadMxShell viene con un conjunto de herramientas diverso

La puerta trasera, llamada así por el uso de consultas DNS MX para comando y control (C2), tiene capacidades como recopilar información del sistema, ejecutar comandos y administrar archivos. Se comunica con el servidor C2 ("litterbolo[.]com") mediante un túnel DNS, empleando varias técnicas para evadir las medidas de seguridad, incluidas múltiples etapas de carga lateral de DLL y métodos antidumping.

Aunque el origen y los motivos de los operadores de malware aún no están claros, Zscaler descubrió dos cuentas asociadas con ellos en foros clandestinos, creadas con la dirección de correo electrónico wh8842480@gmail[.]com. En estos foros se han visto discusiones relacionadas con la configuración de cuentas de umbral de Google AdSense, lo que sugiere el interés de los atacantes en una campaña prolongada de publicidad maliciosa.