Cuidado con publicidad maliciosa en Google

Comparte en ...

Cuidado con publicidad maliciosa en Google

Una nueva campaña de publicidad maliciosa de Google está aprovechando un grupo de dominios que imitan un software de escaneo de IP legítimo para ofrecer una puerta trasera previamente desconocida denominada MadMxShell.

«El actor de amenazas registró múltiples dominios similares utilizando una técnica de typosquatting y aprovechó Google Ads para llevar estos dominios a la cima de los resultados de los motores de búsqueda dirigidos a palabras clave de búsqueda específicas, atrayendo así a las víctimas a visitar estos sitios», dijeron los investigadores de Zscaler ThreatLabz, Roy Tay y Sudeep. dijo Singh .

Se dice que se registraron hasta 45 dominios entre noviembre de 2023 y marzo de 2024, y los sitios se hicieron pasar por software de gestión de TI y escaneo de puertos, como Advanced IP Scanner, Angry IP Scanner, IP scanner PRTG y ManageEngine.

No es la primera vez

Si bien esta no es la primera vez que los actores de amenazas confían en técnicas de publicidad maliciosa para distribuir malware a través de sitios similares, el desarrollo marca la primera vez que el vehículo de entrega se utiliza para propagar una sofisticada puerta trasera de Windows.

Por lo tanto, a los usuarios que terminan buscando dichas herramientas se les muestran sitios falsos que incluyen código JavaScript diseñado para descargar un archivo malicioso («Advanced-ip-scanner.zip») al hacer clic en el botón de descarga.

Dentro del archivo ZIP hay un archivo DLL («IVIEWERS.dll») y un ejecutable («Advanced-ip-scanner.exe»), el último de los cuales utiliza la carga lateral de DLL para cargar la DLL y activar la secuencia de infección.

El archivo DLL es responsable de inyectar el código shell en el proceso «Advanced-ip-scanner.exe» mediante una técnica llamada proceso hueco, tras lo cual el archivo EXE inyectado descomprime dos archivos adicionales: OneDrive.exe y Secur32.dll.

Luego se abusa de OneDrive.exe, un binario legítimo firmado de Microsoft, para cargar Secur32.dll y, en última instancia, ejecutar la puerta trasera del código shell, no sin antes configurar la persistencia en el host mediante una tarea programada y deshabilitar el antivirus Microsoft Defender.

La puerta trasera

Llamada así por el uso de consultas DNS MX para comando y control (C2), está diseñada para recopilar información del sistema, ejecutar comandos a través de cmd.exe y realizar operaciones básicas de manipulación de archivos, como leer, escribir y eliminar. archivos.

Envía solicitudes al servidor C2 («litterbolo[.]com») codificando los datos en los subdominios del nombre de dominio completo (FQDN) en un paquete de consulta de intercambio de correo DNS (MX) y recibe comandos codificados dentro el paquete de respuesta.

«La puerta trasera utiliza técnicas como múltiples etapas de carga lateral de DLL y túnel DNS para la comunicación de comando y control (C2) como un medio para evadir las soluciones de seguridad de red y endpoint, respectivamente», dijeron Tay y Singh.

«Además, la puerta trasera utiliza técnicas evasivas como el antidumping para impedir el análisis de la memoria y obstaculizar las soluciones de seguridad forense».

Se desconocen aún sus intenciones

Actualmente no hay ninguna indicación de dónde se originan los operadores de malware o cuáles son sus intenciones, pero Zscaler dijo que identificó dos cuentas creadas por ellos en foros criminales clandestinos como blackhatworld[.]com y social-eng[.]ru usando la dirección de correo electrónico wh8842480@gmail[.]com, que también se utilizó para registrar un escáner de IP avanzado de suplantación de dominio.

Específicamente, se descubrió que el actor de amenazas participó en publicaciones que ofrecían formas de configurar cuentas de umbral ilimitadas de Google AdSense allá por junio de 2023, lo que indica su interés en lanzar su propia campaña de publicidad maliciosa de larga duración.

«Las cuentas de umbral de Google Ads y las técnicas para abusar de ellas a menudo se comercializan en los foros de BlackHat», dijeron los investigadores. «Muchas veces ofrecen una forma para que el actor de amenazas agregue tantos créditos como sea posible para ejecutar campañas de Google Ads».

«Esto permite a los actores de amenazas ejecutar campañas sin pagar hasta el límite. Un límite de umbral razonablemente alto permite al actor de amenazas ejecutar la campaña publicitaria durante una cantidad de tiempo significativa».

 

¿Has encontrado a este artículo interesante? Puedes seguirnos en Facebook , Twitter LinkedIn para leer más contenido que publicamos o contáctanos.

Comparte en ...
Scroll al inicio