MadMxShell: Hacker verbreiten neue Backdoor per Malvertising

Die Anzeigen richten sich an IT-Teams und Administratoren. Ziel ist der Zugriff auf IT-Systeme.

Sicherheitsforscher des Zscaler ThreatLabz-Teams haben eine neue Backdoor mit dem Namen MadMxShell entdeckt. Ein bisher unbekannter Bedrohungsakteur versucht über einen gefälschten IP-Scanner, einen Zugriff auf IT-Umgebungen zu erlangen. Zu diesem Zweck wurden verschiedene ähnlich aussehende Domains registriert, die den Namen von beliebten Port-Scan-Anwendungen nachahmen (Typo-Squatting).

Die Domain-Namen wiederum wurden über Google-Ads-Kampagnen beworben und so an die Spitze der Suchergebnisse für zielgerichtete Keywords gebracht, um Opfer durch flüchtiges Lesen der imitierten Domain-Namen zum Klicken zu verleiten. Registriert wurden die neuen Domänen für die Malvertising-Kampagne zwischen November 2023 und März 2024.

Die Kampagne soll vor allem IT-Teams und Netzwerk-Administratoren ansprechen, die IP-Scanner typischerweise verwenden. Eine erfolgreiche Infektion führt zur Bereitstellung der MadMxShell-Backdoor, die fortschrittliche Techniken wie DLL-Sideloading und DNS-Tunneling für die Kommunikation mit einem Befehlsserver nutzt. Diese Backdoor unterläuft dabei herkömmliche Sicherheitslösungen durch den Einsatz von Anti-Dumping-Techniken, die Speicheranalysen und Forensik verhindern. Zscaler hat der Backdoor den Namen MadMxShell verliehen aufgrund des Einsatzes von DNS-MX-Anfragen für die Befehlsserver-Kommunikation, die in kurzen Zeitintervallen erfolgen.

Die Nutzung von Google Malvertising als Verbreitungsmethode für Trojaner, die es auf Advanced IP Scanner abgesehen haben, ist nicht neu. Allerdings wurde in der nun beobachteten Kampagne der Funktionsumfang über IP Scanner auf IT Management-Software erweitert und ahmt nun die folgenden legitimen Tools nach: Advanced IP Scanner, Angry IP Scanner, PRTG IP Scanner by Paessler und Manage Engine. Außerdem wurde die Malware, die über diese Kampagne ausgeliefert wird, nach aktuellem Wissensstand noch nicht öffentlich dokumentiert, was auf einen anderen Bedrohungsakteur hindeutet.

„Die Gefahr, die von dieser Malvertising-Kampagne ausgeht, zeigt ein hohes Maß an fortschrittlichen Taktiken, Techniken und Vorgehensweisen, die auf IT-Sicherheits- und Netzwerkexperten abzielen“, kommentiert Zscaler. „Die kontinuierliche Überwachung solcher sich fortentwickelnden Angriffsmuster ist entscheidend für den Schutz von Unternehmen. Bewährte Sicherheitspraktiken und Vorsicht ist beim Klick auf Links, die in den Top-Ergebnissen von Suchmaschinen erscheinen, sind angeraten. Außerdem sollte das Herunterladen von Software ausschließlich über die offiziellen Websites der Entwicklerfirmen erfolgen.“

Themenseiten: Cyberangriff, IP-Adresse, Malvertising, Malware, Security, Sicherheit, Zscaler

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu MadMxShell: Hacker verbreiten neue Backdoor per Malvertising

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *