Een nieuwe malvertisingcampagne van Google maakt gebruik van een cluster van domeinen die legitieme IP-scannersoftware nabootsen om een voorheen onbekende achterdeur te creëren, genaamd MadMxShell.
“De bedreigingsacteur registreerde meerdere gelijksoortige domeinen met behulp van een typosquatting-techniek en maakte gebruik van Google Ads om deze domeinen bovenaan de zoekresultaten van zoekmachines te plaatsen en zich te richten op specifieke zoekwoorden, waardoor slachtoffers ertoe werden aangezet deze sites te bezoeken”, aldus Zscaler ThreatLabz-onderzoekers Roy Tay en Sudeep. zei Singh.
Er wordt gezegd dat er tussen november 2023 en maart 2024 maar liefst 45 domeinen zijn geregistreerd, waarbij de sites zich voordoen als poortscan- en IT-beheersoftware zoals Advanced IP Scanner, Angry IP Scanner, IP-scanner PRTG en ManageEngine.
Hoewel dit niet de eerste keer is dat bedreigingsactoren vertrouwen op malvertisingtechnieken om malware via vergelijkbare sites aan te bieden, is deze ontwikkeling de eerste keer dat het bezorgvoertuig wordt gebruikt om een geavanceerde Windows-achterdeur te verspreiden.
Gebruikers die uiteindelijk naar dergelijke tools zoeken, krijgen dus valse sites te zien die JavaScript-code bevatten die is ontworpen om een kwaadaardig bestand te downloaden (“Advanced-ip-scanner.zip”) wanneer ze op de downloadknop klikken.
In het ZIP-archief bevinden zich een DLL-bestand (“IVIEWERS.dll”) en een uitvoerbaar bestand (“Advanced-ip-scanner.exe”), waarvan de laatste DLL side-loading gebruikt om de DLL te laden en de infectiesequentie te activeren.
Het DLL-bestand is verantwoordelijk voor het injecteren van de shellcode in het proces “Advanced-ip-scanner.exe” via een techniek die procesuitholling wordt genoemd, waarna het geïnjecteerde EXE-bestand twee extra bestanden uitpakt: OneDrive.exe en Secur32.dll.
OneDrive.exe, een legitiem ondertekend Microsoft-binair bestand, wordt vervolgens misbruikt om Secur32.dll te sideloaden en uiteindelijk de achterdeur van de shellcode uit te voeren, maar niet voordat persistentie op de host is ingesteld door middel van een geplande taak en Microsoft Defender Antivirus is uitgeschakeld.
De achterdeur – zo genoemd naar het gebruik van DNS MX-query’s voor command-and-control (C2) – is ontworpen om systeeminformatie te verzamelen, opdrachten uit te voeren via cmd.exe en eenvoudige bestandsmanipulatiebewerkingen uit te voeren, zoals lezen, schrijven en verwijderen bestanden.
Het stuurt verzoeken naar de C2-server (“litterbolo[.]com”) door de gegevens in de subdomein(en) van de Fully Qualified Domain Name (FQDN) te coderen in een DNS mail exchange (MX)-querypakket en opdrachten te ontvangen die zijn gecodeerd in het antwoordpakket.
“De achterdeur maakt gebruik van technieken zoals meerdere fasen van DLL side-loading en DNS-tunneling voor command-and-control (C2) communicatie als een middel om respectievelijk eindpunt- en netwerkbeveiligingsoplossingen te omzeilen”, aldus Tay en Singh.
“Bovendien maakt de achterdeur gebruik van ontwijkende technieken zoals anti-dumping om geheugenanalyse te voorkomen en forensische beveiligingsoplossingen te belemmeren.”
Er is momenteel geen indicatie waar de malware-exploitanten vandaan komen of wat hun bedoelingen zijn, maar Zscaler zei dat het twee accounts heeft geïdentificeerd die door hen zijn gemaakt op criminele ondergrondse forums zoals blackhatworld.[.]com en social-eng[.]ru met behulp van het e-mailadres wh8842480@gmail[.]com, dat ook werd gebruikt om een domein te registreren dat Advanced IP Scanner spooft.
In het bijzonder is ontdekt dat de bedreigingsacteur al in juni 2023 bezig was met berichten waarin manieren werden aangeboden om onbeperkte Google AdSense-drempelaccounts op te zetten, wat aangeeft dat ze geïnteresseerd zijn in het lanceren van hun eigen langdurige malvertisingcampagne.
“Google Ads-drempelaccounts en technieken om deze te misbruiken worden vaak verhandeld op BlackHat-forums”, aldus de onderzoekers. “Vaak bieden ze de bedreigingsacteur een manier om zoveel mogelijk credits toe te voegen om Google Ads-campagnes uit te voeren.”
“Hierdoor kunnen de bedreigingsactoren campagnes uitvoeren zonder daadwerkelijk te betalen tot de drempellimiet. Met een redelijk hoge drempellimiet kan de bedreigingsacteur de advertentiecampagne gedurende een aanzienlijke hoeveelheid tijd uitvoeren.”
