Porte dérobée MadMxShell

Un programme de publicité malveillante de Google utilise un groupe de sites Web qui imitent un logiciel légitime d'analyse IP pour distribuer une porte dérobée récemment découverte appelée MadMxShell. Les attaquants ont enregistré de nombreux domaines d'apparence similaire grâce au typosquatting et utilisent Google Ads pour booster ces sites dans les résultats de recherche, en ciblant des mots clés spécifiques pour attirer des visiteurs sans méfiance.

Entre novembre 2023 et mars 2024, environ 45 domaines ont été enregistrés, se faisant passer pour divers logiciels d'analyse de ports et de gestion informatique comme Advanced IP Scanner, Angry IP Scanner, IP scanner PRTG et ManageEngine.

Bien que des tactiques de publicité malveillante aient déjà été utilisées pour distribuer des logiciels malveillants via de faux sites Web, cet incident marque le premier cas où une telle méthode est utilisée pour propager une porte dérobée Windows complexe.

Les acteurs de la menace attirent les utilisateurs avec de faux sites Web pour diffuser de puissants logiciels malveillants de porte dérobée.

Les utilisateurs qui recherchent ces outils sont dirigés vers des sites Web frauduleux contenant du code JavaScript qui déclenche le téléchargement d'un fichier malveillant nommé « Advanced-ip-scanner.zip » lorsqu'ils cliquent sur le bouton de téléchargement.

Dans l'archive ZIP, il existe deux fichiers : "IVIEWERS.dll" et "Advanced-ip-scanner.exe". Ce dernier utilise le chargement latéral de DLL pour charger « IVIEWERS.dll » et lancer le processus d'infection.

Le fichier DLL injecte du shellcode intégré dans le processus « Advanced-ip-scanner.exe » à l'aide d'une technique appelée creusement de processus. Ensuite, le fichier EXE injecté décompresse deux fichiers supplémentaires : « OneDrive.exe » et « Secur32.dll ».

Le binaire légitime signé de Microsoft « OneDrive.exe » est exploité pour charger « Secur32.dll » et exécuter la porte dérobée du shellcode. Au préalable, le malware établit la persistance sur l'hôte en créant une tâche planifiée et en désactivant Microsoft Defender Antivirus.

La porte dérobée MadMxShell effectue de nombreuses actions menaçantes

Nommée pour son utilisation des requêtes DNS MX pour Command-and-Control (C2), la porte dérobée MadMxShell est conçue pour collecter des données système, exécuter des commandes via cmd.exe et effectuer des opérations fondamentales sur les fichiers telles que la lecture, l'écriture et la suppression de fichiers.

Pour communiquer avec son serveur C2 (« litterbolo.com »), il code les données dans les sous-domaines du nom de domaine complet (FQDN) dans les paquets de requête d'échange de courrier DNS (MX) et déchiffre les commandes intégrées dans les paquets de réponse.

Utilisant des tactiques telles que le chargement latéral de DLL en plusieurs étapes et le tunneling DNS pour la communication C2, la porte dérobée vise à échapper aux mesures de sécurité des points finaux et du réseau. De plus, il utilise des méthodes d’évasion telles que l’antidumping pour contrecarrer l’analyse de la mémoire et entraver les mesures de sécurité médico-légales.

L'acteur menaçant derrière la porte dérobée MadMxShell a des objectifs inconnus

Il n’existe actuellement aucun indice définitif concernant l’origine ou les intentions des opérateurs de logiciels malveillants. Cependant, les chercheurs ont découvert deux comptes créés par eux sur des forums criminels clandestins. Plus précisément, ces acteurs ont été observés participant à des discussions proposant des méthodes pour établir des comptes à seuil Google AdSense illimités dès juin 2023, ce qui suggère un vif intérêt pour le lancement d'une campagne de publicité malveillante soutenue.

Les comptes et les stratégies d'exploitation des seuils Google Ads sont couramment échangés sur les forums BlackHat. Ces méthodes permettent souvent aux acteurs malveillants d'accumuler des crédits pour lancer des campagnes Google Ads sans paiement immédiat, prolongeant ainsi la durée de leurs campagnes. Un seuil suffisamment élevé permet aux acteurs malveillants de poursuivre leurs campagnes publicitaires pendant une période prolongée.