Złośliwe reklamy Google promujące fałszywy skaner IP, który ma na celu kradzież danych
Badacze z dziedziny bezpieczeństwa odkryli kolejną kampanię złośliwych reklam w Google Ads, w której hakerzy podszywają się pod wiele legalnych firm oprogramowania. Choć nie jest to pierwszy tego rodzaju przypadek, ta kampania jest wyjątkowa ze względu na dystrybucję zaawansowanego backdoor'a w systemie Windows.
Kampania została po raz pierwszy zauważona przez badaczy z laboratoriów Zscaler Threat. W okresie od listopada 2023 roku do marca 2024 roku nieznani sprawcy zarejestrowali co najmniej 45 domen. Wszystkie były wersjami typoskwattingowymi firm zajmujących się skanowaniem portów i zarządzaniem IT, takimi jak Advanced IP Scanner, Angry IP Scanner, IP Scanner PRTG i ManageEngine.
Następnie sprawcy stworzyli kampanię reklamową w Google Ads, aby promować te strony. Zwykle hakerzy uzyskiwaliby dostęp do legalnego konta Google Ads, prawdopodobnie takiego, które miało udokumentowany “czysty” stan reklam. W rezultacie osoby szukające tego rodzaju oprogramowania w Google byłyby prezentowane z tymi reklamami na górze strony wyników wyszukiwania, a także w innych miejscach przeznaczonych na reklamy. Osoby, które otwierały te strony i pobierały oferowane tam programy, ostatecznie otrzymywały backdoor MadMxShell. Jest to zupełnie nowy rodzaj złośliwego oprogramowania. Łańcuch infekcji jest stosunkowo długi i obejmuje wiele plików DLL i EXE.
Backdoor'y używają technik takich jak wielostopniowe ładowanie boczne DLL i tunelowanie DNS do komunikacji C2 w celu uniknięcia rozwiązania zabezpieczeń końcowych i sieciowych,” wyjaśnili badacze. “Ponadto tylne drzwi stosują techniki unikania, takie jak anty-dumpowanie, aby zapobiec analizie pamięci i utrudnić rozwiązaniom bezpieczeństwa forensycznego.
Na razie nie wiadomo, kim są atakujący ani jakie mogą mieć motywy tej kampanii. Backdoor'y mają wiele zastosowań, od kradzieży danych i szpiegostwa po nieautoryzowany dostęp, ustawianie trwałości i nawet zdalną kontrolę.
