Yeni bir Google kötü amaçlı reklamcılık kampanyası, önceden bilinmeyen bir arka kapı sunmak için yasal bir IP tarayıcı yazılımını taklit eden bir alan adı kümesinden yararlanıyor. MadMxShell.
Zscaler ThreatLabz araştırmacıları Roy Tay ve Sudeep, “Tehdit aktörü, yazım hatası tekniği kullanarak birden çok benzer alan adını kaydetti ve bu alanları, belirli arama anahtar kelimelerini hedefleyen arama motoru sonuçlarının en üstüne çıkarmak için Google Ads’ten yararlandı, böylece kurbanları bu siteleri ziyaret etmeye teşvik etti.” Singh söz konusu.
Kasım 2023 ile Mart 2024 arasında 45 kadar alan adının kayıtlı olduğu söyleniyor; siteler, Gelişmiş IP Tarayıcı, Angry IP Tarayıcı, IP tarayıcı PRTG ve ManageEngine gibi bağlantı noktası tarama ve BT yönetim yazılımı gibi görünüyor.
Bu iken ilk defa değil Tehdit aktörleri güveniyor kötü amaçlı reklamcılık teknikleri Benzer siteler aracılığıyla kötü amaçlı yazılım sunmak için bu gelişme, dağıtım aracının karmaşık bir Windows arka kapısını yaymak için ilk kez kullanıldığına işaret ediyor.
Böylece, bu tür araçları arayan kullanıcılara, indirme düğmesine tıkladıklarında, kötü amaçlı bir dosyayı (“Advanced-ip-scanner.zip”) indirmek için tasarlanmış JavaScript kodu içeren sahte siteler görüntülenir.
ZIP arşivinde bir DLL dosyası (“IVIEWERS.dll”) ve yürütülebilir bir dosya (“Advanced-ip-scanner.exe”) bulunur; bunlardan ikincisi, DLL’yi yüklemek ve bulaşma sırasını etkinleştirmek için DLL tarafından yüklemeyi kullanır.
DLL dosyası, gömülü kabuk kodunu “Advanced-ip-scanner.exe” işlemine, süreç boşaltma adı verilen bir teknikle enjekte etmekten sorumludur; ardından enjekte edilen EXE dosyası, iki ek dosyayı (OneDrive.exe ve Secur32.dll) paketinden çıkarır.
Yasal olarak imzalanmış bir Microsoft ikili dosyası olan OneDrive.exe, daha sonra Secur32.dll’yi dışarıdan yüklemek ve sonuçta kabuk kodu arka kapısını yürütmek için kötüye kullanılır, ancak bu, zamanlanmış bir görev aracılığıyla ana bilgisayarda kalıcılık ayarlanmadan ve Microsoft Defender Antivirus’ü devre dışı bırakmadan önce gerçekleşmez.
Arka kapı – kullanımından dolayı bu şekilde adlandırılmıştır DNS MX sorguları Komuta ve kontrol için (C2) – sistem bilgilerini toplamak, cmd.exe aracılığıyla komutları çalıştırmak ve dosyaları okuma, yazma ve silme gibi temel dosya işleme işlemlerini gerçekleştirmek için tasarlanmıştır.
C2 sunucusuna istek gönderir (“litterbolo[.]com”), Tam Nitelikli Alan Adının (FQDN) alt alan(lar)ındaki verileri bir DNS posta alışverişi (MX) sorgu paketinde kodlayarak ve yanıt paketi içinde kodlanmış komutları alır.
Tay ve Singh, “Arka kapı, sırasıyla uç nokta ve ağ güvenliği çözümlerinden kaçmanın bir yolu olarak, komut ve kontrol (C2) iletişimi için DLL tarafı yüklemesinin birden fazla aşaması ve DNS tüneli oluşturma gibi teknikleri kullanıyor.” dedi.
“Ayrıca arka kapı, bellek analizini önlemek ve adli güvenlik çözümlerini engellemek için anti-damping gibi kaçamak teknikler kullanıyor.”
Şu anda kötü amaçlı yazılım operatörlerinin nereden geldiğine veya niyetlerinin ne olduğuna dair bir gösterge yok, ancak Zscaler, blackhatworld gibi yer altı suç forumlarında onlar tarafından oluşturulan iki hesap tespit ettiğini söyledi.[.]com ve sosyal-eng[.]wh8842480@gmail e-posta adresini kullanarak ru[.]com, aynı zamanda bir alan adı sahtekarlığı Gelişmiş IP Tarayıcısını kaydetmek için de kullanıldı.
Özellikle, tehdit aktörü kurmak meşgul olmak gönderiler Haziran 2023’te sınırsız Google AdSense eşik hesapları oluşturmanın yollarını sunuyor ve bu da kendi uzun süreli kötü amaçlı reklamcılık kampanyalarını başlatmaya ilgi duyduklarını gösteriyor.
Araştırmacılar, “Google Ads eşik hesapları ve bunların kötüye kullanılmasına yönelik teknikler genellikle BlackHat forumlarında alınıp satılıyor” dedi. “Çoğu zaman tehdit aktörlerine Google Ads kampanyalarını yürütmek için mümkün olduğu kadar çok kredi eklemesi için bir yol sunuyorlar.”
“Bu, tehdit aktörlerinin eşik sınırına kadar fiilen ödeme yapmadan kampanya yürütmelerine olanak tanıyor. Makul derecede yüksek bir eşik sınırı, tehdit aktörünün reklam kampanyasını önemli bir süre boyunca yürütmesine olanak tanıyor.”