Des publicités Google malveillantes poussant un faux logiciel de scanner IP avec une porte dérobée cachée
Une nouvelle campagne de publicité malveillante de Google exploite un groupe de domaines imitant un logiciel de scanner IP légitime pour proposer une porte dérobée jusqu’alors inconnue baptisée MadMxShell.
« L’auteur de la menace a enregistré plusieurs domaines similaires à l’aide d’une technique de typosquatting et a exploité Google Ads pour placer ces domaines en tête des résultats des moteurs de recherche en ciblant des mots-clés de recherche spécifiques, incitant ainsi les victimes à visiter ces sites », ont déclaré Roy Tay et Sudeep, chercheurs de Zscaler ThreatLabz. » dit Singh.
Jusqu’à 45 domaines auraient été enregistrés entre novembre 2023 et mars 2024, les sites se faisant passer pour des logiciels d’analyse de ports et de gestion informatique tels que Advanced IP Scanner, Angry IP Scanner, IP scanner PRTG et ManageEngine.
Bien que ce ne soit pas la première fois que des acteurs malveillants misent sur des techniques de publicité malveillante pour diffuser des logiciels malveillants via des sites similaires, ce développement marque la première fois que le véhicule de diffusion est utilisé pour propager une porte dérobée Windows sophistiquée.
Ainsi, les utilisateurs qui finissent par rechercher de tels outils voient apparaître de faux sites contenant du code JavaScript conçu pour télécharger un fichier malveillant (« Advanced-ip-scanner.zip ») lorsqu’ils cliquent sur le bouton de téléchargement.
L’archive ZIP contient un fichier DLL (« IVIEWERS.dll ») et un exécutable (« Advanced-ip-scanner.exe »), ce dernier utilisant le chargement latéral de la DLL pour charger la DLL et activer la séquence d’infection.
Le fichier DLL est chargé d’injecter le shellcode intégré dans le processus « Advanced-ip-scanner.exe » via une technique appelée processus de creux, à la suite de quoi le fichier EXE injecté décompresse deux fichiers supplémentaires – OneDrive.exe et Secur32.dll.
OneDrive.exe, un binaire Microsoft signé légitime, est ensuite utilisé de manière abusive pour charger Secur32.dll et finalement exécuter la porte dérobée du shellcode, mais pas avant de configurer la persistance sur l’hôte au moyen d’une tâche planifiée et de désactiver Microsoft Defender Antivirus.
La porte dérobée – ainsi nommée pour son utilisation des requêtes DNS MX pour le commandement et le contrôle (C2) – est conçue pour collecter des informations système, exécuter des commandes via cmd.exe et effectuer des opérations de manipulation de fichiers de base telles que la lecture, l’écriture et la suppression. des dossiers.
Il envoie des requêtes au serveur C2 (« litterbolo[.]com ») en codant les données dans le(s) sous-domaine(s) du nom de domaine complet (FQDN) dans un paquet de requête d’échange de courrier DNS (MX) et reçoit les commandes codées dans le paquet de réponse.
« La porte dérobée utilise des techniques telles que plusieurs étapes de chargement latéral de DLL et de tunneling DNS pour la communication de commande et de contrôle (C2) comme moyen d’échapper aux solutions de sécurité des points finaux et du réseau, respectivement », ont déclaré Tay et Singh.
« De plus, la porte dérobée utilise des techniques évasives telles que l’antidumping pour empêcher l’analyse de la mémoire et entraver les solutions de sécurité médico-légales. »
Il n’y a actuellement aucune indication sur l’origine des opérateurs de logiciels malveillants ni quelles sont leurs intentions, mais Zscaler a déclaré avoir identifié deux comptes créés par eux sur des forums criminels clandestins comme blackhatworld.[.]com et social-eng[.]ru en utilisant l’adresse e-mail wh8842480@gmail[.]com, qui a également été utilisé pour enregistrer un Advanced IP Scanner d’usurpation de domaine.
Plus précisément, l’acteur malveillant a été découvert en juin 2023 dans des publications proposant des moyens de créer un nombre illimité de comptes à seuil Google AdSense, indiquant son intérêt pour le lancement de sa propre campagne de publicité malveillante de longue durée.
« Les comptes à seuil Google Ads et les techniques permettant d’en abuser sont souvent échangés sur les forums BlackHat », ont déclaré les chercheurs. « Souvent, ils offrent à l’acteur malveillant un moyen d’ajouter autant de crédits que possible pour lancer des campagnes Google Ads. »
« Cela permet aux acteurs malveillants de lancer des campagnes sans réellement payer jusqu’au seuil limite. Un seuil raisonnablement élevé permet à l’acteur malveillant de lancer la campagne publicitaire pendant une période de temps significative. »