Anfang März 2024 haben die Sicherheitsforscher des Zscaler ThreatLabz-Teams eine neue Backdoor mit dem Namen MadMxShell aufgedeckt. Über diese versuche ein bisher unbekannter Bedrohungsakteur über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Dazu sei die Methode des Typo-Squatting eingesetzt worden und verschiedene ähnlich aussehende Domains registriert, die den Namen der beliebten Port Scan-Software nachahmen würden. Über Google Ads-Kampagnen seien diese Domain-Namen beworben und so an die Spitze der Suchergebnisse für zielgerichtete Keywords gebracht worden, um Opfer durch flüchtiges Lesen der imitierten Domain-Namen zum Klicken zu verleiten, erklären die Sicherheitsforscher.
Der Bedrohungsakteur hinter dieser Malvertising-Kampagne habe die neuen Domänen zwischen November 2023 und März 2024 ins Leben gerufen. Damit sollen vor allem IT-Teams und Netzwerk-Administratoren angesprochen werden, die diese Tools typischerweise verwenden. Eine erfolgreiche Infektion führe zur Bereitstellung der MadMxShell-Backdoor, die fortschrittliche Techniken wie DLL-Sideloading und DNS-Tunneling für die C2-Kommunikation nutzt. Diese Backdoor unterlaufe herkömmliche Sicherheitslösungen durch den Einsatz von Anti-Dumping-Techniken, die Speicheranalysen und Forensik verhindern. Zscaler hat der Backdoor den Namen MadMxShell verliehen aufgrund des Einsatzes von DNS MX-Anfragen für die Command & Control-Kommunikation, die in kurzen Zeitintervallen erfolgen.
Nutzung von Google Malvertising nicht neu
IT-Mitarbeitende im Bereich Sicherheit und Netzwerkadministration gerieten in jüngster Vergangenheit bereits öfter ins Visier von Angreifern. APT-Gruppierungen wie Nobelium oder IABs (Initial Access Broker) starten Angriffe auf diese Zielgruppe aufgrund ihrer privilegierten Zugriffsberechtigungen auf interne Systeme und Netzwerke und verkaufen dann kompromittierte IT-Umgebungen an weitere Bedrohungsakteure.
Die Nutzung von Google Malvertising als Verbreitungsmethode für Trojaner, die es auf Advanced IP Scanner abgesehen haben, ist nicht neu. Allerdings wurde in der nun beobachteten Kampagne der Funktionsumfang über IP Scanner auf IT Management-Software erweitert und ahmt nun die folgenden legitimen Tools nach: Advanced IP Scanner, Angry IP Scanner, PRTG IP Scanner by Paessler und Manage Engine. Außerdem wurde die Malware, die über diese Kampagne ausgeliefert wird, nach aktuellem Wissensstand noch nicht öffentlich dokumentiert, was auf einen anderen Bedrohungsakteur hindeute.
Die Gefahr, die von dieser Malvertising-Kampagne ausgeht, zeigt ein hohes Maß an fortschrittlichen Taktiken, Techniken und Vorgehensweisen, die auf IT-Sicherheits- und Netzwerkexperten abzielen. Die kontinuierliche Überwachung solcher sich fortentwickelnden Angriffsmuster ist entscheidend für den Schutz von Unternehmen. Bewährte Sicherheitspraktiken und Vorsicht beim Klick auf Links, die in den Top-Ergebnissen von Suchmaschinen erscheinen, sind angeraten. Außerdem sollte das Herunterladen von Software ausschließlich über die offiziellen Websites der Entwicklerfirmen erfolgen. (ah)