Dangerous Hooded Hacker Breaks into Government Data Servers and Infects Their System with a Virus. His Hideout Place has Dark Atmosphere, Multiple Displays, Cables Everywhere.
Sicherheitsforscher des Zscaler ThreatLabz-Teams haben eine neue Backdoor mit dem Namen MadMxShell entdeckt. Ein bisher unbekannter Bedrohungsakteur versucht über einen gefälschten IP-Scanner, einen Zugriff auf IT-Umgebungen zu erlangen. Zu diesem Zweck wurden verschiedene ähnlich aussehende Domains registriert, die den Namen von beliebten Port-Scan-Anwendungen nachahmen (Typo-Squatting).
Die Domain-Namen wiederum wurden über Google-Ads-Kampagnen beworben und so an die Spitze der Suchergebnisse für zielgerichtete Keywords gebracht, um Opfer durch flüchtiges Lesen der imitierten Domain-Namen zum Klicken zu verleiten. Registriert wurden die neuen Domänen für die Malvertising-Kampagne zwischen November 2023 und März 2024.
Die Kampagne soll vor allem IT-Teams und Netzwerk-Administratoren ansprechen, die IP-Scanner typischerweise verwenden. Eine erfolgreiche Infektion führt zur Bereitstellung der MadMxShell-Backdoor, die fortschrittliche Techniken wie DLL-Sideloading und DNS-Tunneling für die Kommunikation mit einem Befehlsserver nutzt. Diese Backdoor unterläuft dabei herkömmliche Sicherheitslösungen durch den Einsatz von Anti-Dumping-Techniken, die Speicheranalysen und Forensik verhindern. Zscaler hat der Backdoor den Namen MadMxShell verliehen aufgrund des Einsatzes von DNS-MX-Anfragen für die Befehlsserver-Kommunikation, die in kurzen Zeitintervallen erfolgen.
Die Nutzung von Google Malvertising als Verbreitungsmethode für Trojaner, die es auf Advanced IP Scanner abgesehen haben, ist nicht neu. Allerdings wurde in der nun beobachteten Kampagne der Funktionsumfang über IP Scanner auf IT Management-Software erweitert und ahmt nun die folgenden legitimen Tools nach: Advanced IP Scanner, Angry IP Scanner, PRTG IP Scanner by Paessler und Manage Engine. Außerdem wurde die Malware, die über diese Kampagne ausgeliefert wird, nach aktuellem Wissensstand noch nicht öffentlich dokumentiert, was auf einen anderen Bedrohungsakteur hindeutet.
„Die Gefahr, die von dieser Malvertising-Kampagne ausgeht, zeigt ein hohes Maß an fortschrittlichen Taktiken, Techniken und Vorgehensweisen, die auf IT-Sicherheits- und Netzwerkexperten abzielen“, kommentiert Zscaler. „Die kontinuierliche Überwachung solcher sich fortentwickelnden Angriffsmuster ist entscheidend für den Schutz von Unternehmen. Bewährte Sicherheitspraktiken und Vorsicht ist beim Klick auf Links, die in den Top-Ergebnissen von Suchmaschinen erscheinen, sind angeraten. Außerdem sollte das Herunterladen von Software ausschließlich über die offiziellen Websites der Entwicklerfirmen erfolgen.“
Der Sicherheitscheck entzieht unsicheren Websites automatisch alle Berechtigungen. Zudem können Nutzer in Chrome künftig Websites…
Ontinue registriert einen Anstieg beim Anteil am Gesamtangriffsvolumen um 105 Prozent. Das Angriffsvolumen auf den…
Das o1 genannte Modell liegt als Preview vor. Bei einer Mathematikprüfung beantwortet es 83 Prozent…
Das Kennzeichen erhalten Zoom Workplace Pro und Zoom Workplace Basic. Es bescheinigt unter anderem aktuelle…
iOS und iPadOS erhalten Tab-Gruppen. Zudem unterstützt Chrome nun die Synchronisierung von Tab-Gruppen.
Sie befürchten einen Missbrauch der Identitäten von Verstorbenen. 60 Prozent befürworten deswegen eine Klärung des…