MadMxShell バックドアが悪質な広告を通じて拡散
Google 広告を悪用した最近のマルバタイジング キャンペーンには、正当な IP スキャナー ツールに似た一連の Web サイトが関与しており、MadMxShell という新しいバックドアを配布することを目的としています。Zscaler ThreatLabz の研究者は、攻撃者がタイポスクワッティング戦術を使用して多数の類似ドメインを登録したことを発見しました。攻撃者はこれらのドメインを宣伝するために Google 広告を利用し、特定の検索語を悪用して訪問者を誘引しました。2023 年 11 月から 2024 年 3 月の間に、Advanced IP Scanner や ManageEngine などのさまざまなソフトウェア ツールを装った約 45 のドメインが作成されました。これは、複雑な Windows バックドアを拡散するためにこのような方法が使用された最初の例です。
最初の攻撃は悪意のあるJavaScriptから始まる
これらのツールを探している被害者は、悪意のあるファイル (「Advanced-ip-scanner.zip」) のダウンロードをトリガーする JavaScript コードを含む偽の Web サイトに誘導されます。ZIP ファイル内には、「IVIEWERS.dll」と「Advanced-ip-scanner.exe」の 2 つのファイルがあります。後者は DLL サイドローディングを使用して感染プロセスを開始します。次に、DLL はプロセス ハロウイングを介して EXE ファイルにシェルコードを挿入し、追加のファイル (「OneDrive.exe」と「Secur32.dll」) を解凍します。正規の OneDrive.exe は、Secur32.dll をロードしてシェルコード バックドアを実行するために悪用され、同時に永続性を確立して Microsoft Defender ウイルス対策を無効にします。
MadMxShell バックドアには多様なツールキットが付属
このバックドアは、コマンド アンド コントロール (C2) に DNS MX クエリを使用することからその名が付けられており、システム情報の収集、コマンドの実行、ファイルの管理などの機能を備えています。DNS トンネリングを使用して C2 サーバー (「litterbolo[.]com」) と通信し、複数段階の DLL サイドローディングやアンチダンピング手法など、さまざまな手法を使用してセキュリティ対策を回避します。
マルウェア運営者の出自と動機は不明のままですが、Zscaler は地下フォーラムで、wh8842480@gmail[.]com というメールアドレスを使用して作成された、彼らに関連する 2 つのアカウントを発見しました。これらのフォーラムでは、Google AdSense のしきい値アカウントの設定に関する議論が行われており、攻撃者が長期にわたるマルバタイジング キャンペーンに関心を持っていることがうかがえます。