La backdoor MadMxShell si diffonde attraverso annunci dannosi

Una recente campagna di malvertising che abusa di Google Ads coinvolge una serie di siti Web che assomigliano a uno strumento legittimo di scansione IP, con l'obiettivo di distribuire una nuova backdoor denominata MadMxShell. I ricercatori di Zscaler ThreatLabz hanno scoperto che gli aggressori hanno registrato numerosi domini simili utilizzando tattiche di typosquatting. Hanno utilizzato Google Ads per promuovere questi domini, sfruttando termini di ricerca specifici per attirare visitatori. Tra novembre 2023 e marzo 2024 sono stati creati circa 45 domini, che si presentavano come vari strumenti software come Advanced IP Scanner e ManageEngine. Questo segna il primo caso in cui un metodo del genere è stato utilizzato per diffondere una complessa backdoor di Windows.

L'attacco iniziale inizia con JavaScript dannoso

Le vittime che cercano questi strumenti vengono indirizzate a siti Web ingannevoli contenenti codice JavaScript che attiva il download di un file dannoso ("Advanced-ip-scanner.zip"). All'interno del file ZIP sono presenti due file: "IVIEWERS.dll" e "Advanced-ip-scanner.exe". Quest'ultimo utilizza il caricamento laterale DLL per avviare il processo di infezione. La DLL inserisce quindi lo shellcode nel file EXE tramite il processo di svuotamento, che decomprime file aggiuntivi: "OneDrive.exe" e "Secur32.dll". Viene utilizzato in modo improprio il legittimo OneDrive.exe per caricare Secur32.dll ed eseguire la backdoor shellcode, stabilendo al tempo stesso la persistenza e disabilitando Microsoft Defender Antivirus.

La backdoor MadMxShell viene fornita con diversi toolkit

La backdoor, chiamata così per l'utilizzo di query DNS MX per comando e controllo (C2), ha funzionalità come la raccolta di informazioni di sistema, l'esecuzione di comandi e la gestione di file. Comunica con il server C2 ("litterbolo[.]com") utilizzando il tunneling DNS, impiegando varie tecniche per eludere le misure di sicurezza, comprese fasi multiple di caricamento laterale DLL e metodi anti-dumping.

Sebbene l'origine e le motivazioni degli operatori di malware rimangano poco chiare, Zscaler ha scoperto due account a loro associati su forum clandestini, creati utilizzando l'indirizzo email wh8842480@gmail[.]com. Questi forum hanno visto discussioni relative alla creazione di account con soglia Google AdSense, suggerendo l'interesse degli aggressori per una campagna di malvertising prolungata.