Anúncios Maliciosos no Google Promovem Software Falso de Scanner IP Com Backdoor Oculto
18 de Abril de 2024

Uma nova campanha de malvertising no Google está explorando um conjunto de domínios que imitam um legítimo software de scanner IP para entregar um backdoor anteriormente desconhecido apelidado de MadMxShell.

"O ator de ameaças registrou múltiplos domínios parecidos usando uma técnica de typosquatting e explorou os Google Ads para elevar esses domínios ao topo dos resultados de motores de busca direcionando palavras-chave específicas de pesquisa, atraindo assim as vítimas a visitarem esses sites", disseram os pesquisadores da Zscaler ThreatLabz, Roy Tay e Sudeep Singh.

Diz-se que até 45 domínios foram registrados entre novembro de 2023 e março de 2024, com os sites se passando por software de escaneamento de portas e gerenciamento de TI como Advanced IP Scanner, Angry IP Scanner, IP scanner PRTG e ManageEngine.

Enquanto não é a primeira vez que atores de ameaças apostam em técnicas de malvertising para servir malware via sites imitadores, o desenvolvimento marca a primeira vez que o veículo de entrega está sendo usado para propagar um backdoor sofisticado para Windows.

Assim, usuários que acabam procurando por tais ferramentas veem sites falsos que incluem código JavaScript projetado para baixar um arquivo malicioso ("Advanced-ip-scanner.zip") ao clicar no botão de download.

Presente no arquivo ZIP está um arquivo DLL ("IVIEWERS.dll") e um executável ("Advanced-ip-scanner.exe"), este último utiliza o carregamento lateral de DLL para carregar a DLL e ativar a sequência de infecção.

O arquivo DLL é responsável por injetar o shellcode no processo "Advanced-ip-scanner.exe" via uma técnica chamada process hollowing, após o qual o arquivo EXE injetado descompacta dois arquivos adicionais – OneDrive.exe e Secur32.dll.

OneDrive.exe, um binário Microsoft assinado legitimamente, é então usado para carregar lateralmente o Secur32.dll e, finalmente, executar o backdoor shellcode, mas não antes de configurar a persistência no host por meio de uma tarefa agendada e desativar o Microsoft Defender Antivirus.

O backdoor – assim nomeado pelo seu uso de consultas DNS MX para comando e controle (C2) – é projetado para coletar informações do sistema, executar comandos via cmd.exe e realizar operações básicas de manipulação de arquivos como ler, escrever e deletar arquivos.

Ele envia solicitações ao servidor C2 ("litterbolo[.]com") codificando os dados no(s) subdomínio(s) do Nome de Domínio Completamente Qualificado (FQDN) em um pacote de consulta de troca de correio DNS (MX) e recebe comandos codificados dentro do pacote de resposta.

"O backdoor usa técnicas como múltiplos estágios de carregamento lateral de DLL e tunelamento DNS para comunicação de comando e controle (C2) como meio de evitar soluções de segurança de endpoint e de rede, respectivamente," disseram Tay e Singh.

Além disso, o backdoor utiliza técnicas evasivas como anti-dumping para prevenir análise de memória e obstruir soluções de segurança forense.

Atualmente, não há indicação de onde os operadores de malware se originam ou quais são suas intenções, mas a Zscaler disse ter identificado duas contas criadas por eles em fóruns do submundo criminal como blackhatworld[.]com e social-eng[.]ru usando o endereço de e-mail wh8842480@gmail[.]com, que também foi usado para registrar um domínio imitando o Advanced IP Scanner.

Especificamente, o ator de ameaça foi encontrado engajando em posts oferecendo maneiras de configurar contas de limiar do Google AdSense sem limites desde junho de 2023, indicando seu interesse em lançar sua própria campanha de malvertising de longa duração.

"Contas de limiar do Google Ads e técnicas para abusar delas são frequentemente negociadas em fóruns BlackHat," disseram os pesquisadores.

Muitas vezes, elas oferecem uma maneira para o ator de ameaça adicionar tantos créditos quanto possível para rodar campanhas de Google Ads. Isso permite que os atores de ameaças executem campanhas sem realmente pagar até o limite do limiar.

Um limite de limiar razoavelmente alto permite que o ator de ameaça execute a campanha de anúncio por um tempo significativo.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...