ClickCease MadMxShell-Malware: Google Ads Malvertising-Kampagnen-Alarm

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

MadMxShell-Malware: Google Ads Malvertising-Kampagnen-Alarm

von Wajahat Raja

1. Mai 2024. TuxCare-Expertenteam

In einer jüngsten Entdeckungist eine bösartige Kampagne aufgetaucht, die Google Ads nutzt, um eine neu identifizierte Backdoor-Malware namens MadMxShell zu verbreiten. Diese Kampagne wird über ein Netzwerk von betrügerischen Domains gesteuert, die legitimer IP-Scansoftware ähneln und darauf abzielen, ahnungslose Benutzer zum Herunterladen von Malware auf ihre Systeme zu verleiten. In diesem Artikel werden wir uns mit der MadMxShell-Malware und erfahren mehr über die Infektionssequenz und die Schutzmaßnahmen zu ihrer Bekämpfung.

 

MadMxShell-Malware-Technik und -Verteilung


Die Täter hinter dieser
Google Ads-Werbekampagne haben eine Taktik angewandt, die als Typosquatting bekannt ist: Sie haben zahlreiche Domains registriert, die beliebten IP-Scanner-Tools wie Advanced IP Scanner und Angry IP Scanner sehr ähnlich sind. Diese Typosquatting-Domain-Angriffe werden dann über Google Ads beworben, wobei sie strategisch an der Spitze der Suchmaschinenergebnisse für bestimmte Schlüsselwörter positioniert werden.

Beim Besuch dieser betrügerischen Websites werden die Benutzer aufgefordert, eine scheinbar legitime Software herunterzuladen. Hinter der Fassade verbirgt sich jedoch ein bösartiger JavaScript-Code, getarnt als ZIP-Datei mit dem Namen "Advanced-ip-scanner.zip". In diesem Archiv befinden sich zwei wichtige Komponenten: eine DLL-Datei namens "IVIEWERS.dll" und eine ausführbare Datei mit der Bezeichnung "Advanced-ip-scanner.exe".

 

Infektionssequenz und Ausnutzungswerkzeuge


Bei der Ausführung wird die Datei
"Advanced-ip-scanner.exe" eine komplexe Infektionssequenz ein, bei der DLL-Side-Loading zum Einsatz kommt. Bei dieser Technik wird die DLL-Datei geladen und die Funktionen der Malware werden aktiviert. Die DLL-Datei nutzt eine Methode namens Process Hollowing, um Shellcode in den Host-Prozess zu injizieren und so den Infektionsprozess einzuleiten.

Erschwerend kommt hinzu, dass die Malware legitime Microsoft-Binärdateien wie OneDrive.exe missbraucht, um zusätzliche bösartige Komponenten wie Secur32.dll per Sideload einzuschleusen. Diese Aktionen werden heimlich durchgeführt, um die Erkennung zu umgehen und die Backdoor-Funktionalität nahtlos auszuführen.

 

Die MadMxShell-Backdoor


Die MadMxShell-Backdoor, benannt nach der Nutzung von DNS MX-Abfragen für die Command-and-Control (C2)-Kommunikation, ist eine
MadMxShell-Backdoor ist mit vielseitigen Fähigkeiten ausgestattet. Sie kann Systeminformationen sammeln, Befehle über cmd.exe ausführen und grundlegende Dateimanipulationsoperationen durchführen, während sie auf dem infizierten Host bestehen bleibt.

Um der Erkennung durch Sicherheitslösungen zu entgehen, setzt die Malware ausgeklügelte Umgehungstechniken ein. Dazu gehören mehrere Stufen des DLL-Side-Loading, DNS-Tunneling für die C2-Kommunikation und Anti-Dumping-Mechanismen, um Speicheranalysen und forensische Untersuchungen zu vereiteln.

 

Aufdeckung der Bedrohungsakteure


Obwohl die Herkunft und die Motive der Bedrohungsakteure nach wie vor nicht bekannt sind, haben Ermittlungsbemühungen Licht auf ihre Aktivitäten geworfen.
Jüngste Berichte haben ergeben, dass zwei Konten, die mit den Tätern in Verbindung stehen, in Untergrundforen identifiziert wurden, die die E-Mail-Adresse [email protected] verwenden. Diese Foren dienen als Plattformen für schändliche Aktivitäten, einschließlich des Austauschs von Ausnutzung von Google Ads Techniken für böswillige Zwecke.

Die Entdeckung unterstreicht die anhaltende Bedrohung durch bösartigen Werbekampagnen Kampagnen die legitime Werbeplattformen ausnutzen. Indem sie Google Ads ausnutzen, können Bedrohungsakteure ein großes Publikum erreichen und gleichzeitig herkömmliche Sicherheitsmaßnahmen umgehen.

 

MadMxShell-Erkennung und -Entfernung


In der heutigen, sich schnell entwickelnden
digitalen Bedrohungslandschaftmüssen die Cybersicherheitsmaßnahmen ständig angepasst werden, um vor neuen Risiken zu schützen. Angesichts dieser neuen Bedrohung sollten Unternehmen und Privatpersonen beim Herunterladen von Software aus unbekannten Quellen Vorsicht walten lassen. Die Umsetzung robuster Cybersicherheitsmaßnahmen, wie z. B. Endpunktschutz und Netzwerküberwachung, kann dazu beitragen, solche Angriffe zu erkennen und zu verhindern.


Schlussfolgerung


Das Auftauchen der
MadMxShell-Malware verdeutlicht die sich entwickelnden Taktiken, die von Bedrohungsakteuren zur Verbreitung bösartiger Aktivitäten eingesetzt werden. Indem sie betrügerische Domains und legitime Werbeplattformen nutzen, entgehen diese Angreifer weiterhin der Entdeckung und gefährden ahnungslose Benutzer. Wachsamkeit, gepaart mit proaktiven Sicherheitsmaßnahmengepaart mit proaktiven Sicherheitsmaßnahmen, sind unerlässlich, um solche Bedrohungen zu bekämpfen und sich vor potenziellen Cyberangriffen zu schützen.

Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und SC Medien.

Zusammenfassung
MadMxShell-Malware: Google Ads Malvertising-Kampagnen-Alarm
Artikel Name
MadMxShell-Malware: Google Ads Malvertising-Kampagnen-Alarm
Beschreibung
Entdecken Sie, wie Bedrohungsakteure Google Ads nutzen, um die MadMxShell-Malware einzusetzen. Bleiben Sie informiert und geschützt vor dieser Cyber-Bedrohung.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Werden Sie ein TuxCare-Gastautor

E-Mail

Helfen Sie uns,
die Linux-Landschaft zu verstehen!

Füllen Sie unsere Umfrage zum Stand von Open Source aus und gewinnen Sie einen von mehreren Preisen, wobei der Hauptpreis mit 500 $ dotiert ist!

Ihr Fachwissen ist gefragt, um die Zukunft von Enterprise Linux zu gestalten!