Backdoor MadMxShell se espalha por meio de anúncios maliciosos
Uma recente campanha de malvertising que abusa do Google Ads envolve uma série de sites que se assemelham a uma ferramenta legítima de verificação de IP, com o objetivo de distribuir um novo backdoor chamado MadMxShell. Pesquisadores do Zscaler ThreatLabz descobriram que os invasores registraram vários domínios semelhantes usando táticas de typosquatting. Eles utilizaram o Google Ads para promover esses domínios, explorando termos de pesquisa específicos para atrair visitantes. Aproximadamente 45 domínios foram criados entre novembro de 2023 e março de 2024, apresentando-se como diversas ferramentas de software como Advanced IP Scanner e ManageEngine. Isso marca a primeira vez que tal método foi usado para espalhar um backdoor complexo do Windows.
O ataque inicial começa com JavaScript malicioso
As vítimas que procuram estas ferramentas são direcionadas para sites fraudulentos que contêm código JavaScript que desencadeia o descarregamento de um ficheiro malicioso ("Advanced-ip-scanner.zip"). Dentro do arquivo ZIP há dois arquivos: “IVIEWERS.dll” e “Advanced-ip-scanner.exe”. Este último emprega carregamento lateral de DLL para iniciar o processo de infecção. A DLL então injeta shellcode no arquivo EXE por meio de esvaziamento de processo, que descompacta arquivos adicionais – “OneDrive.exe” e “Secur32.dll”. O OneDrive.exe legítimo é usado para carregar o Secur32.dll e executar o backdoor do shellcode, ao mesmo tempo que estabelece persistência e desativa o Microsoft Defender Antivirus.
MadMxShell Backdoor vem com kit de ferramentas diversificado
O backdoor, nomeado por usar consultas DNS MX para comando e controle (C2), possui recursos como coleta de informações do sistema, execução de comandos e gerenciamento de arquivos. Comunica com o servidor C2 ("litterbolo[.]com") usando tunelamento DNS, empregando várias técnicas para evitar medidas de segurança, incluindo vários estágios de carregamento lateral de DLL e métodos anti-dumping.
Embora a origem e os motivos dos operadores de malware permaneçam obscuros, Zscaler descobriu duas contas associadas a eles em fóruns clandestinos, criados usando o endereço de e-mail wh8842480@gmail[.]com. Esses fóruns tiveram discussões relacionadas à configuração de contas de limite do Google AdSense, sugerindo o interesse dos invasores em uma campanha prolongada de malvertising.