18.04.2024
Google Reklamlar içerisinde gerçekleştirilen bir reklam kampanyası keşfedildi .MadMxShell isimli Bu kampanya IP tarayıcı yazılımını taklit eden bir alan ağı kullanıp 'backdoor' oluşturuyor.
Araştırmacılar Roy Tay ve Sudeep Singh, tehdit aktörünün typosquatting teknikleri aracılığıyla birkaç benzer alan kaydettiğini ve bu alanları belirli arama anahtar kelimelerine hedefleyerek Google Ads'i kullanarak bu alanları arama sonuçlarının en üstüne taşıdığını buldu. Bu strateji, kurbanları, bunların zararlı doğasından habersiz olarak bu siteleri ziyaret etmeye ikna etmeyi amaçlıyordu.
Kasım 2023 ile Mart 2024 arasında yaklaşık olarak 45 alan kaydedildi ve Advanced IP Scanner, Angry IP Scanner, IP tarayıcı PRTG ve ManageEngine gibi liman tarama ve BT yönetim yazılımlarını taklit ediyorlardı.
Kötü reklam teknikleri daha önce de sahte siteler aracılığıyla zararlı yazılımların dağıtılmasında kullanılmış olsa da, bu, bir yöntemi bir Windows 'backdoor' u yaymak için kullanmanın ilk örneğidir
Bu araçları arayan kullanıcılar, JavaScript kodu içeren sahte sitelere yönlendirilir ve indirme düğmesine tıkladıklarında zararlı bir dosya ("Advanced-ip-scanner.zip") indirilir.
ZIP arşivinde, bir DLL dosyası ("IVIEWERS.dll") ve bir yürütülebilir dosya ("Advanced-ip-scanner.exe") bulunmaktadır. Yürütülebilir dosya, süreç oyuklama aracılığıyla DLL yan yükleme kullanarak enfeksiyon dizisini etkinleştirir.
Enjekte edilen EXE dosyası daha sonra iki ek dosya açar - OneDrive.exe ve Secur32.dll. OneDrive.exe, meşru bir Microsoft ikili dosyasıdır ve Secur32.dll'i yan yüklemek için kullanılır, böylece shellcode ve backdoor'un yürütülmesini etkinleştirir. Ayrıca, kötü amaçlı yazılım, ana bilgisayarda süreklilik sağlar ve Microsoft Defender Antivirüs'ü devre dışı bırakır.
Komut ve kontrol (C2) için DNS MX sorgularını kullandığı için adlandırılan arka kapı, sistem bilgilerini toplar, cmd.exe aracılığıyla komutları yürütür ve temel dosya işleme işlemleri gerçekleştirir.
Tam Nitelikli Alan Adı'nın (FQDN) alt alanlarında verileri kodlayarak C2 sunucusu ("litterbolo[.]com") ile iletişim kurar ve kodlanmış komutlarla yanıt alır.
Backdoor, C2 iletişimi için DNS tünellemesi ve bellek analizi ve adli bilişim güvenlik çözümlerini engellemek için anti-dökme gibi çeşitli kaçınma teknikleri kullanır.
Kötü niyetli operatörlerin kökeni ve niyetleri bilinmemekle birlikte, Zscaler, bu operatörlerin, wh8842480@gmail[.]com e-posta adresiyle ilişkilendirilen, blackhatworld[.]com ve social-eng[.]ru gibi suçlu yeraltı forumlarında oluşturulan iki hesap tespit ettiğini, bu e-posta adresinin ayrıca Advanced IP Scanner'ı taklit eden bir alan kaydetmek için de kullanıldığını belirledi.