La porte dérobée MadMxShell se propage via des publicités malveillantes
Une récente campagne de publicité malveillante abusant de Google Ads implique une série de sites Web ressemblant à un outil d'analyse IP légitime, visant à distribuer une nouvelle porte dérobée nommée MadMxShell. Les chercheurs de Zscaler ThreatLabz ont découvert que les attaquants avaient enregistré de nombreux domaines similaires en utilisant des tactiques de typosquatting. Ils ont utilisé Google Ads pour promouvoir ces domaines, en exploitant des termes de recherche spécifiques pour attirer les visiteurs. Environ 45 domaines ont été créés entre novembre 2023 et mars 2024, se faisant passer pour divers outils logiciels comme Advanced IP Scanner et ManageEngine. C’est la première fois qu’une telle méthode est utilisée pour propager une porte dérobée Windows complexe.
L'attaque initiale commence avec du JavaScript malveillant
Les victimes recherchant ces outils sont dirigées vers des sites Web trompeurs contenant du code JavaScript qui déclenche le téléchargement d'un fichier malveillant (« Advanced-ip-scanner.zip »). Le fichier ZIP contient deux fichiers : "IVIEWERS.dll" et "Advanced-ip-scanner.exe". Ce dernier utilise le chargement latéral de DLL pour lancer le processus d'infection. La DLL injecte ensuite le shellcode dans le fichier EXE via un processus de creusement, qui décompresse les fichiers supplémentaires – « OneDrive.exe » et « Secur32.dll ». Le OneDrive.exe légitime est utilisé de manière abusive pour charger Secur32.dll et exécuter la porte dérobée du shellcode, tout en établissant la persistance et en désactivant l'antivirus Microsoft Defender.
MadMxShell Backdoor est livré avec une boîte à outils diversifiée
La porte dérobée, nommée pour son utilisation des requêtes DNS MX pour le commandement et le contrôle (C2), possède des fonctionnalités telles que la collecte d'informations système, l'exécution de commandes et la gestion de fichiers. Il communique avec le serveur C2 (« litterbolo[.]com ») en utilisant le tunneling DNS, en employant diverses techniques pour échapper aux mesures de sécurité, notamment plusieurs étapes de chargement latéral de DLL et des méthodes anti-dumping.
Bien que l'origine et les motivations des opérateurs de logiciels malveillants restent floues, Zscaler a découvert deux comptes qui leur sont associés sur des forums clandestins, créés à l'aide de l'adresse e-mail wh8842480@gmail[.]com. Ces forums ont vu des discussions liées à la création de comptes à seuil Google AdSense, faisant allusion à l'intérêt des attaquants pour une campagne de publicité malveillante prolongée.