ClickCease Malware MadMxShell : Alerte à la campagne publicitaire malveillante de Google Ads

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Malware MadMxShell : Alerte à la campagne publicitaire malveillante de Google Ads

Wajahat Raja

1er mai 2024 - L'équipe d'experts de TuxCare

Lors d'une découverte récenteune campagne malveillante a fait surface, utilisant les publicités Google pour distribuer un logiciel malveillant de porte dérobée nouvellement identifié, appelé MadMxShell. Cette campagne est orchestrée par un réseau de domaines trompeurs ressemblant à des logiciels légitimes de balayage d'adresses IP, dans le but de tromper les utilisateurs peu méfiants et de les inciter à télécharger des logiciels malveillants sur leurs systèmes. Dans cet article, nous allons nous pencher sur le malware logiciel malveillant MadMxShell et en apprendre davantage sur sa séquence d'infection et sur les mesures de protection à prendre pour le contrer.

 

Technique et distribution du logiciel malveillant MadMxShell


Les auteurs de cette campagne
campagne de publicité malveillante sur Google Ads ont utilisé une tactique connue sous le nom de typosquatting, en enregistrant de nombreux domaines ressemblant étroitement à des outils de balayage IP populaires tels que Advanced IP Scanner et Angry IP Scanner. Ces attaques de domaines par typosquattage sont ensuite promues par le biais de Google Ads, qui les positionnent stratégiquement en tête des résultats des moteurs de recherche pour des mots clés spécifiques.

Lorsqu'ils visitent ces sites trompeurs, les utilisateurs sont invités à télécharger ce qui semble être un logiciel légitime. Cependant, derrière la façade se cache un code JavaScript malveillant déguisé en fichier ZIP nommé "Advanced-ip-scanner.zip". "Advanced-ip-scanner.zip". Cette archive contient deux composants essentiels : un fichier DLL nommé "IVIEWERS.dll" et un fichier exécutable intitulé "Advanced-ip-scanner.exe".

 

Séquence d'infection et outils d'exploitation


Lors de l'exécution, le fichier
"Advanced-ip-scanner.exe" lance une séquence d'infection complexe utilisant le chargement latéral de DLL. Cette technique consiste à charger le fichier DLL et à activer les fonctions du logiciel malveillant. Le fichier DLL utilise une méthode appelée "process hollowing" pour injecter un shellcode dans le processus hôte, lançant ainsi le processus d'infection.

Pour compliquer encore les choses, le logiciel malveillant exploite des binaires Microsoft légitimes tels que OneDrive.exe pour charger en parallèle des composants malveillants supplémentaires tels que Secur32.dll. Ces actions sont effectuées clandestinement pour échapper à la détection et exécuter la fonctionnalité de la porte dérobée de manière transparente.

 

La porte dérobée MadMxShell


Nommé en raison de son utilisation des requêtes DNS MX pour les communications de commande et de contrôle (C2), le backdoor
porte dérobée MadMxShell est dotée de capacités multiples. Il peut recueillir des informations sur le système, exécuter des commandes via cmd.exe et effectuer des opérations de manipulation de fichiers de base, tout en persistant sur l'hôte infecté.

Pour éviter d'être détecté par les solutions de sécurité, le logiciel malveillant utilise des techniques d'évasion sophistiquées. Celles-ci comprennent plusieurs étapes de chargement latéral de DLL, le tunnelage DNS pour la communication C2 et des mécanismes anti-dumping pour contrecarrer l'analyse de la mémoire et les enquêtes médico-légales.

 

Découvrir les acteurs de la menace


Bien que les origines et les motivations des acteurs de la menace ne soient pas divulguées, des enquêtes ont permis de faire la lumière sur leurs activités.
Des rapports récents ont révélé que deux comptes associés aux auteurs ont été identifiés sur des forums clandestins, utilisant l'adresse électronique [email protected]. Ces forums servent de plates-formes pour des activités malveillantes, notamment l'échange d'informations sur l'exploitation de Google Ads. techniques d'exploitation de Google Ads à des fins malveillantes.

Cette découverte souligne la menace persistante que représentent les campagnes publicitaires malveillantes malveillantes malveillantes utilisant des plateformes publicitaires légitimes. En exploitant Google Ads, les acteurs de la menace peuvent atteindre un vaste public tout en échappant aux mesures de sécurité traditionnelles.

 

Détection et suppression de MadMxShell


Dans le contexte actuel d'évolution rapide des
paysage des menaces numériquesles mesures de cybersécurité doivent s'adapter en permanence pour se protéger contre les risques émergents. Face à cette menace émergente, les organisations et les particuliers sont invités à faire preuve de prudence lorsqu'ils téléchargent des logiciels provenant de sources inconnues. La mise en œuvre de mesures de cybersécurité solides, telles que la protection des terminaux et la surveillance du réseau, peut aider à détecter et à prévenir de telles attaques.


Conclusion


L'émergence du logiciel malveillant
logiciel malveillant MadMxShell met en évidence l'évolution des tactiques employées par les acteurs de la menace pour propager des activités malveillantes. En s'appuyant sur des domaines trompeurs et des plateformes publicitaires légitimes, ces adversaires continuent d'échapper à la détection et de compromettre des utilisateurs peu méfiants. La vigilance, associée à des mesures de sécurité proactivesLa vigilance, associée à des mesures de sécurité proactives, est essentielle pour lutter contre ces menaces et se prémunir contre les cyberattaques potentielles.

Les sources de cet article comprennent des articles dans The Hacker News et SC Media.

Résumé
Malware MadMxShell : Alerte à la campagne publicitaire malveillante de Google Ads
Nom de l'article
Malware MadMxShell : Alerte à la campagne publicitaire malveillante de Google Ads
Description
Découvrez comment les acteurs de la menace s'appuient sur les publicités Google pour déployer le logiciel malveillant MadMxShell. Restez informé et protégé contre cette cybermenace.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information