MadMxShell-Hintertür
Ein Malvertising-Schema von Google verwendet eine Gruppe von Websites, die legitime IP-Scanner-Software imitieren, um eine neu entdeckte Hintertür namens MadMxShell zu verbreiten. Die Angreifer haben durch Typosquatting zahlreiche ähnlich aussehende Domains registriert und verwenden Google Ads, um diese Websites in den Suchergebnissen nach oben zu bringen, indem sie auf bestimmte Schlüsselwörter abzielen, um ahnungslose Besucher anzulocken.
Zwischen November 2023 und März 2024 wurden rund 45 Domains registriert, die vorgaben, verschiedene Port-Scanning- und IT-Management-Software wie Advanced IP Scanner, Angry IP Scanner, IP-Scanner PRTG und ManageEngine zu sein.
Zwar wurden Malvertising-Taktiken schon früher eingesetzt, um Malware über gefälschte Websites zu verteilen, doch dieser Vorfall ist das erste Mal, dass eine derartige Methode zum Verbreiten einer komplexen Windows-Hintertür eingesetzt wurde.
Inhaltsverzeichnis
Bedrohungsakteure locken Benutzer mit gefälschten Websites an, um dort potente Backdoor-Malware zu verbreiten
Benutzer, die nach diesen Tools suchen, werden auf betrügerische Websites mit JavaScript-Code weitergeleitet, der beim Klicken auf die Download-Schaltfläche den Download einer schädlichen Datei mit dem Namen „Advanced-ip-scanner.zip“ auslöst.
Im ZIP-Archiv befinden sich zwei Dateien: „IVIEWERS.dll“ und „Advanced-ip-scanner.exe“. Letztere nutzt DLL-Sideloading, um „IVIEWERS.dll“ zu laden und den Infektionsprozess zu starten.
Die DLL-Datei injiziert eingebetteten Shellcode in den Prozess „Advanced-ip-scanner.exe“ mithilfe einer Technik namens Process Hollowing. Anschließend entpackt die injizierte EXE-Datei zwei weitere Dateien – „OneDrive.exe“ und „Secur32.dll“.
Die legitime signierte Microsoft-Binärdatei „OneDrive.exe“ wird ausgenutzt, um „Secur32.dll“ zu laden und die Shellcode-Hintertür auszuführen. Zuvor etabliert die Malware Persistenz auf dem Host, indem sie eine geplante Aufgabe erstellt und Microsoft Defender Antivirus deaktiviert.
Die MadMxShell-Backdoor führt zahlreiche bedrohliche Aktionen aus
Die MadMxShell-Hintertür ist nach ihrer Nutzung von DNS-MX-Abfragen für Command-and-Control (C2) benannt und darauf ausgelegt, Systemdaten zu sammeln, Befehle über cmd.exe auszuführen und grundlegende Dateivorgänge wie das Lesen, Schreiben und Löschen von Dateien durchzuführen.
Um mit seinem C2-Server („litterbolo.com“) zu kommunizieren, codiert es Daten innerhalb der Subdomänen des vollqualifizierten Domänennamens (FQDN) in DNS-Mail-Exchange-(MX)-Abfragepaketen und entschlüsselt in Antwortpaketen eingebettete Befehle.
Mithilfe von Taktiken wie mehrstufigem DLL-Sideloading und DNS-Tunneling für die C2-Kommunikation versucht die Hintertür, Sicherheitsmaßnahmen für Endgeräte und Netzwerke zu umgehen. Darüber hinaus verwendet sie Ausweichmethoden wie Anti-Dumping, um Speicheranalysen zu verhindern und forensische Sicherheitsmaßnahmen zu behindern.
Der Bedrohungsakteur hinter der MadMxShell-Hintertür hat unbekannte Ziele
Derzeit gibt es keine eindeutigen Hinweise auf die Herkunft oder die Absichten der Malware-Betreiber. Forscher haben jedoch zwei von ihnen in kriminellen Untergrundforen erstellte Konten entdeckt. Insbesondere wurde beobachtet, dass diese Akteure bereits im Juni 2023 an Diskussionen teilnahmen, in denen Methoden zur Einrichtung unbegrenzter Google AdSense-Schwellenkonten angeboten wurden, was auf ein großes Interesse an der Einführung einer anhaltenden Malvertising-Kampagne hindeutet.
Konten und Strategien zum Ausnutzen von Google Ads-Schwellenwerten werden häufig in BlackHat-Foren ausgetauscht. Diese Methoden bieten Bedrohungsakteuren häufig die Möglichkeit, Guthaben für die Durchführung von Google Ads-Kampagnen ohne sofortige Zahlung anzusammeln und so die Dauer ihrer Kampagnen effektiv zu verlängern. Ein ausreichend hoher Schwellenwert ermöglicht es Bedrohungsakteuren, ihre Werbekampagnen über einen längeren Zeitraum aufrechtzuerhalten.
