Anfang März 2024 haben die Sicherheitsforscher des Zscaler ThreatLabz-Teams die neue Backdoor mit dem Namen MadMxShell aufgedeckt. Sie verwendet die Methode des Typo-Squatting und registriert verschiedene ähnlich aussehende Domains, die den Namen der beliebten Port Scan-Software nachahmen. Über Google Ads- Kampagnen wurden diese Domain-Namen beworben und so an die Spitze der Suchergebnisse für zielgerichtete Keywords gebracht, um Opfer durch flüchtiges Lesen der imitierten Domain-Namen zum Klicken zu verleiten.
Der Bedrohungsakteur hinter dieser Malvertising-Kampagne hat die neuen Domänen zwischen November 2023 und März 2024 ins Leben gerufen. Damit werden vor allem IT-Teams und Netzwerk-Administratoren angesprochen, die diese Tools typischerweise verwenden. Eine erfolgreiche Infektion führt zur Bereitstellung der MadMxShell-Backdoor, die fortschrittliche Techniken wie DLL-Sideloading und DNS-Tunneling für die C2-Kommunikation nutzt. Diese Backdoor unterläuft herkömmliche Sicherheitslösungen durch den Einsatz von Anti-Dumping-Techniken, die Speicheranalysen und Forensik verhindern. Zscaler hat der Backdoor den Namen MadMxShell verliehen aufgrund des Einsatzes von DNS MX-Anfragen für die Command & Control-Kommunikation, die in kurzen Zeitintervallen erfolgen.
IT-Mitarbeitende im Bereich Sicherheit und Netzwerkadministration gerieten in jüngster Vergangenheit bereits öfter ins Visier von Angreifern. APT-Gruppierungen wie Nobelium oder IABs (Initial Access Broker) starten Angriffe auf diese Zielgruppe aufgrund ihrer privilegierten Zugriffsberechtigungen auf interne Systeme und Netzwerke und verkaufen dann kompromittierte IT-Umgebungen an weitere Bedrohungsakteure.
Die Nutzung von Google Malvertising als Verbreitungsmethode für Trojaner, die es auf Advanced IP Scanner abgesehen haben, ist nicht neu. Allerdings wurde in der nun beobachteten Kampagne der Funktionsumfang über IP Scanner auf IT Management-Software erweitert und ahmt nun die folgenden legitimen Tools nach: Advanced IP Scanner, Angry IP Scanner, PRTG IP Scanner by Paessler und Manage Engine. Außerdem wurde die Malware, die über diese Kampagne ausgeliefert wird, nach aktuellem Wissensstand noch nicht öffentlich dokumentiert, was auf einen anderen Bedrohungsakteur hindeutet.
Die Gefahr, die von dieser Malvertising-Kampagne ausgeht, zeigt ein hohes Maß an fortschrittlichen Taktiken, Techniken und Vorgehensweisen, die auf IT-Sicherheits- und Netzwerkexperten abzielen. Die kontinuierliche Überwachung solcher sich fortentwickelnden Angriffsmuster ist entscheidend für den Schutz von Unternehmen. Bewährte Sicherheitspraktiken und Vorsicht ist beim Klick auf Links, die in den Top-Ergebnissen von Suchmaschinen erscheinen, sind angeraten. Außerdem sollte das Herunterladen von Software ausschließlich über die offiziellen Websites der Entwicklerfirmen erfolgen.
Die technische Analyse von MadMXShell ist im ThreatLabZ-Blog nachzulesen.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…