MadMxShell バックドアが悪質な広告を通じて拡散

trojan horse malware

Google 広告を悪用した最近のマルバタイジング キャンペーンには、正当な IP スキャナー ツールに似た一連の Web サイトが関与しており、MadMxShell という新しいバックドアを配布することを目的としています。Zscaler ThreatLabz の研究者は、攻撃者がタイポスクワッティング戦術を使用して多数の類似ドメインを登録したことを発見しました。攻撃者はこれらのドメインを宣伝するために Google 広告を利用し、特定の検索語を悪用して訪問者を誘引しました。2023 年 11 月から 2024 年 3 月の間に、Advanced IP Scanner や ManageEngine などのさまざまなソフトウェア ツールを装った約 45 のドメインが作成されました。これは、複雑な Windows バックドアを拡散するためにこのような方法が使用された最初の例です。

最初の攻撃は悪意のあるJavaScriptから始まる

これらのツールを探している被害者は、悪意のあるファイル (「Advanced-ip-scanner.zip」) のダウンロードをトリガーする JavaScript コードを含む偽の Web サイトに誘導されます。ZIP ファイル内には、「IVIEWERS.dll」と「Advanced-ip-scanner.exe」の 2 つのファイルがあります。後者は DLL サイドローディングを使用して感染プロセスを開始します。次に、DLL はプロセス ハロウイングを介して EXE ファイルにシェルコードを挿入し、追加のファイル (「OneDrive.exe」と「Secur32.dll」) を解凍します。正規の OneDrive.exe は、Secur32.dll をロードしてシェルコード バックドアを実行するために悪用され、同時に永続性を確立して Microsoft Defender ウイルス対策を無効にします。

MadMxShell バックドアには多様なツールキットが付属

このバックドアは、コマンド アンド コントロール (C2) に DNS MX クエリを使用することからその名が付けられており、システム情報の収集、コマンドの実行、ファイルの管理などの機能を備えています。DNS トンネリングを使用して C2 サーバー (「litterbolo[.]com」) と通信し、複数段階の DLL サイドローディングやアンチダンピング手法など、さまざまな手法を使用してセキュリティ対策を回避します。

マルウェア運営者の出自と動機は不明のままですが、Zscaler は地下フォーラムで、wh8842480@gmail[.]com というメールアドレスを使用して作成された、彼らに関連する 2 つのアカウントを発見しました。これらのフォーラムでは、Google AdSense のしきい値アカウントの設定に関する議論が行われており、攻撃者が長期にわたるマルバタイジング キャンペーンに関心を持っていることがうかがえます。

Zaib
April 18, 2024
Computer Security
日本語
April 18, 2024
Computer Security

人気の投稿

Softcnapp 不要と思われるアプリケーション

2 months年前

エラー: Ox800VDS ポップアップ詐欺

24 days年前

「あなたの iCloud がハッキングされています」および「あなたの iPhone がハッキングされています」ポップアップ

9 months年前

Alrucs サービス トロイの木馬

15 days年前

Remor.xyz ブラウザ ハイジャッカー

13 days年前

Uajs ランサムウェアはほとんどのファイル タイプをロックする

14 days年前
日本語
読み込み中...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

ホーム

製品

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

サポート

ヘルプファイル よくある質問 Downloads Inquiries & Support

会社

私たちに関しては Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service 個人情報保護方針 クッキーポリシー Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windowsは、Microsoftの商標であり、米国およびその他の国で登録されています。
Mac、iPhone、iPad、およびApp Storeは、米国およびその他の国で登録されたAppleInc。の商標です。
iOSは、Cisco Systems、Inc。および/またはその関連会社の米国およびその他の国における登録商標です。
AndroidおよびGooglePlayは、GoogleLLCの商標です。