Una nueva campaña de malvertising ha afectado a Google mediante el uso de dominios que imitan software legítimo de escaneo de IP para entregar una puerta trasera llamada MadMxShell. Los investigadores de Zscaler ThreatLabz han descubierto que un «actor de la amenaza» ha registrado varios dominios y ha usado técnicas de typosquatting para que aparezcan entre los primeros resultados de búsqueda de Google para palabras clave específicas. Entre noviembre de 2023 y marzo de 2024, se registraron hasta 45 dominios que se hacían pasar por software de escaneo de puertos y gestión de TI.
Tales sitios falsos incluyen código JavaScript diseñado para descargar un archivo malicioso con el nombre «Advanced-ip-scanner.zip«, al hacer clic en el botón de descarga. El archivo ZIP contiene un archivo DLL («IVIEWERS.dll«) y un ejecutable («Advanced-ip-scanner.exe«). El archivo ejecutable utiliza la carga lateral de DLL para luego cargar un binario de OneDrive.exe, el cual se utiliza para cargar Secur32.dll y ejecutar el backdoor de shellcode, después de establecer la persistencia en el host mediante una tarea programada y deshabilitando Microsoft Defender Antivirus.
El backdoor utiliza técnicas como múltiples etapas de carga lateral de DLL y túneles DNS para la comunicación de comando y control (C2) como medios para evadir soluciones de seguridad de endpoint y de red, respectivamente. Los «operadores de malware» han sido encontrados participando en publicaciones que ofrecen formas de establecer cuentas de umbral de Google AdSense ilimitadas desde junio de 2023, lo que indica su interés en lanzar su propia y duradera campaña de malvertising.
Es importante destacar que no se sabe quiénes son los operadores de malware o cuáles son sus intenciones, pero Zscaler informa que han identificado dos cuentas creadas por ellos en foros clandestinos como blackhatworld.com y social-eng.ru utilizando una dirección de correo electrónico específica. La investigación también señala que las cuentas de umbral de Google Ads se utilizan a menudo para permitir a los actores de amenazas añadir tantos créditos como sea posible para ejecutar campañas de Google Ads sin ningún costo y durante un tiempo prolongado.
Vía The Hacker News