Neue Backdoor: Bedrohung durch Malvertising-Kampagne mit MadMxShell

Anfang März 2024 haben die Sicherheitsforscher des Zscaler ThreatLabz-Teams die neue Backdoor mit dem Namen MadMxShell aufgedeckt. Sie verwendet die Methode des Typo-Squatting und registriert verschiedene ähnlich aussehende Domains, die den Namen der beliebten Port Scan-Software nachahmen. Über Google Ads- Kampagnen wurden diese Domain-Namen beworben und so an die Spitze der Suchergebnisse für zielgerichtete Keywords gebracht, um Opfer durch flüchtiges Lesen der imitierten Domain-Namen zum Klicken zu verleiten.

Infektion führt zur Bereitstellung der MadMxShell-Backdoor

Der Bedrohungsakteur hinter dieser Malvertising-Kampagne hat die neuen Domänen zwischen November 2023 und März 2024 ins Leben gerufen. Damit werden vor allem IT-Teams und Netzwerk-Administratoren angesprochen, die diese Tools typischerweise verwenden. Eine erfolgreiche Infektion führt zur Bereitstellung der MadMxShell-Backdoor, die fortschrittliche Techniken wie DLL-Sideloading und DNS-Tunneling für die C2-Kommunikation nutzt. Diese Backdoor unterläuft herkömmliche Sicherheitslösungen durch den Einsatz von Anti-Dumping-Techniken, die Speicheranalysen und Forensik verhindern. Zscaler hat der Backdoor den Namen MadMxShell verliehen aufgrund des Einsatzes von DNS MX-Anfragen für die Command & Control-Kommunikation, die in kurzen Zeitintervallen erfolgen.

IT-Mitarbeitende im Bereich Sicherheit und Netzwerkadministration gerieten in jüngster Vergangenheit bereits öfter ins Visier von Angreifern. APT-Gruppierungen wie Nobelium oder IABs (Initial Access Broker) starten Angriffe auf diese Zielgruppe aufgrund ihrer privilegierten Zugriffsberechtigungen auf interne Systeme und Netzwerke und verkaufen dann kompromittierte IT-Umgebungen an weitere Bedrohungsakteure.

Erweiterter Funktionsumfang über IP Scanner

Die Nutzung von Google Malvertising als Verbreitungsmethode für Trojaner, die es auf Advanced IP Scanner abgesehen haben, ist nicht neu. Allerdings wurde in der nun beobachteten Kampagne der Funktionsumfang über IP Scanner auf IT Management-Software erweitert und ahmt nun die folgenden legitimen Tools nach: Advanced IP Scanner, Angry IP Scanner, PRTG IP Scanner by Paessler und Manage Engine. Außerdem wurde die Malware, die über diese Kampagne ausgeliefert wird, nach aktuellem Wissensstand noch nicht öffentlich dokumentiert, was auf einen anderen Bedrohungsakteur hindeutet.

Die Gefahr, die von dieser Malvertising-Kampagne ausgeht, zeigt ein hohes Maß an fortschrittlichen Taktiken, Techniken und Vorgehensweisen, die auf IT-Sicherheits- und Netzwerkexperten abzielen. Die kontinuierliche Überwachung solcher sich fortentwickelnden Angriffsmuster ist entscheidend für den Schutz von Unternehmen. Bewährte Sicherheitspraktiken und Vorsicht ist beim Klick auf Links, die in den Top-Ergebnissen von Suchmaschinen erscheinen, sind angeraten. Außerdem sollte das Herunterladen von Software ausschließlich über die offiziellen Websites der Entwicklerfirmen erfolgen.

Die technische Analyse von MadMXShell ist im ThreatLabZ-Blog nachzulesen.

Roger Homrich

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago