Anfang März 2024 haben die Sicherheitsforscher des Zscaler ThreatLabz-Teams die neue Backdoor mit dem Namen MadMxShell aufgedeckt. Sie verwendet die Methode des Typo-Squatting und registriert verschiedene ähnlich aussehende Domains, die den Namen der beliebten Port Scan-Software nachahmen. Über Google Ads- Kampagnen wurden diese Domain-Namen beworben und so an die Spitze der Suchergebnisse für zielgerichtete Keywords gebracht, um Opfer durch flüchtiges Lesen der imitierten Domain-Namen zum Klicken zu verleiten.
Der Bedrohungsakteur hinter dieser Malvertising-Kampagne hat die neuen Domänen zwischen November 2023 und März 2024 ins Leben gerufen. Damit werden vor allem IT-Teams und Netzwerk-Administratoren angesprochen, die diese Tools typischerweise verwenden. Eine erfolgreiche Infektion führt zur Bereitstellung der MadMxShell-Backdoor, die fortschrittliche Techniken wie DLL-Sideloading und DNS-Tunneling für die C2-Kommunikation nutzt. Diese Backdoor unterläuft herkömmliche Sicherheitslösungen durch den Einsatz von Anti-Dumping-Techniken, die Speicheranalysen und Forensik verhindern. Zscaler hat der Backdoor den Namen MadMxShell verliehen aufgrund des Einsatzes von DNS MX-Anfragen für die Command & Control-Kommunikation, die in kurzen Zeitintervallen erfolgen.
IT-Mitarbeitende im Bereich Sicherheit und Netzwerkadministration gerieten in jüngster Vergangenheit bereits öfter ins Visier von Angreifern. APT-Gruppierungen wie Nobelium oder IABs (Initial Access Broker) starten Angriffe auf diese Zielgruppe aufgrund ihrer privilegierten Zugriffsberechtigungen auf interne Systeme und Netzwerke und verkaufen dann kompromittierte IT-Umgebungen an weitere Bedrohungsakteure.
Die Nutzung von Google Malvertising als Verbreitungsmethode für Trojaner, die es auf Advanced IP Scanner abgesehen haben, ist nicht neu. Allerdings wurde in der nun beobachteten Kampagne der Funktionsumfang über IP Scanner auf IT Management-Software erweitert und ahmt nun die folgenden legitimen Tools nach: Advanced IP Scanner, Angry IP Scanner, PRTG IP Scanner by Paessler und Manage Engine. Außerdem wurde die Malware, die über diese Kampagne ausgeliefert wird, nach aktuellem Wissensstand noch nicht öffentlich dokumentiert, was auf einen anderen Bedrohungsakteur hindeutet.
Die Gefahr, die von dieser Malvertising-Kampagne ausgeht, zeigt ein hohes Maß an fortschrittlichen Taktiken, Techniken und Vorgehensweisen, die auf IT-Sicherheits- und Netzwerkexperten abzielen. Die kontinuierliche Überwachung solcher sich fortentwickelnden Angriffsmuster ist entscheidend für den Schutz von Unternehmen. Bewährte Sicherheitspraktiken und Vorsicht ist beim Klick auf Links, die in den Top-Ergebnissen von Suchmaschinen erscheinen, sind angeraten. Außerdem sollte das Herunterladen von Software ausschließlich über die offiziellen Websites der Entwicklerfirmen erfolgen.
Die technische Analyse von MadMXShell ist im ThreatLabZ-Blog nachzulesen.
Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.