Puerta trasera MadMxShell
Un esquema de publicidad maliciosa de Google está utilizando un grupo de sitios web que imitan un software de escaneo de IP legítimo para distribuir una puerta trasera recientemente descubierta llamada MadMxShell. Los atacantes han registrado numerosos dominios de apariencia similar mediante errores tipográficos y están utilizando Google Ads para impulsar estos sitios en los resultados de búsqueda, apuntando a palabras clave específicas para atraer visitantes desprevenidos.
Entre noviembre de 2023 y marzo de 2024, se registraron alrededor de 45 dominios, haciéndose pasar por varios software de gestión de TI y escaneo de puertos, como Advanced IP Scanner, Angry IP Scanner, IP scanner PRTG y ManageEngine.
Si bien ya se han utilizado tácticas de publicidad maliciosa para distribuir malware a través de sitios web falsos, este incidente marca el primer caso en el que se emplea un método de este tipo para difundir una puerta trasera compleja de Windows.
Tabla de contenido
Los actores de amenazas atraen a los usuarios con sitios web falsos para entregar un potente malware de puerta trasera
Los usuarios que buscan estas herramientas son dirigidos a sitios web fraudulentos que contienen código JavaScript que desencadena la descarga de un archivo malicioso llamado 'Advanced-ip-scanner.zip' cuando se hace clic en el botón de descarga.
Dentro del archivo ZIP, hay dos archivos: 'IVIEWERS.dll' y 'Advanced-ip-scanner.exe'. Este último utiliza la carga lateral de DLL para cargar 'IVIEWERS.dll' e iniciar el proceso de infección.
El archivo DLL inyecta shellcode incrustado en el proceso 'Advanced-ip-scanner.exe' utilizando una técnica llamada proceso hueco. Luego, el archivo EXE inyectado descomprime dos archivos adicionales: 'OneDrive.exe' y 'Secur32.dll'.
El binario legítimo firmado de Microsoft 'OneDrive.exe' se explota para cargar 'Secur32.dll' y ejecutar la puerta trasera del código shell. De antemano, el malware establece persistencia en el host creando una tarea programada y deshabilitando Microsoft Defender Antivirus.
La puerta trasera MadMxShell realiza numerosas acciones amenazantes
Llamada así por su utilización de consultas DNS MX para comando y control (C2), la puerta trasera MadMxShell está diseñada para recopilar datos del sistema, ejecutar comandos a través de cmd.exe y realizar operaciones fundamentales de archivos como leer, escribir y eliminar archivos.
Para comunicarse con su servidor C2 ('litterbolo.com'), codifica datos dentro de los subdominios del nombre de dominio completo (FQDN) en paquetes de consulta de intercambio de correo DNS (MX) y descifra comandos integrados en paquetes de respuesta.
Al emplear tácticas como la carga lateral de DLL de múltiples etapas y el túnel DNS para la comunicación C2, la puerta trasera tiene como objetivo eludir las medidas de seguridad de la red y los terminales. Además, emplea métodos de evasión como el antidumping para frustrar el análisis de la memoria e impedir las medidas de seguridad forense.
El actor de amenazas detrás de la puerta trasera MadMxShell tiene objetivos desconocidos
Actualmente no hay pistas definitivas sobre el origen o las intenciones de los operadores del malware. Sin embargo, los investigadores han descubierto dos cuentas creadas por ellos en foros clandestinos criminales. Específicamente, se ha observado que estos actores participan en discusiones que ofrecen métodos para establecer cuentas de umbral ilimitadas de Google AdSense desde junio de 2023, lo que sugiere un gran interés en lanzar una campaña sostenida de publicidad maliciosa.
Las cuentas y estrategias para explotar los umbrales de Google Ads se intercambian habitualmente en los foros de BlackHat. Estos métodos a menudo proporcionan un medio para que los actores de amenazas acumulen créditos para ejecutar campañas de Google Ads sin pago inmediato, extendiendo efectivamente la duración de sus campañas. Un umbral suficientemente alto permite a los actores de amenazas mantener sus campañas publicitarias durante un período prolongado.
