Negli ultimi mesi, un’astuta campagna di malvertising ha preso di mira i team IT con l’introduzione di una nuova backdoor chiamata MadMxShell. Questa minaccia è stata osservata per la prima volta a marzo del 2024, quando Zscaler ThreatLabz ha rilevato un attore di minaccia che utilizzava un insieme di domini che imitavano siti di software legittimi per scanner IP, allo scopo di distribuire una backdoor precedentemente non nota. L’attore di minaccia ha registrato numerosi domini simili utilizzando una tecnica di typosquatting e ha sfruttato Google Ads per portare questi domini in cima ai risultati dei motori di ricerca, attirando così le vittime a visitare tali siti.
La backdoor
La backdoor scoperta utilizza diverse tecniche come il sideloading multiplo di DLL, l’abuso del protocollo DNS per comunicare con il server di comando e controllo (C2) e l’elusione delle soluzioni di sicurezza forense della memoria.
“la backdoor utilizza tecniche evasive come l’anti-dumping per impedire l’analisi della memoria e ostacolare le soluzioni di sicurezza forense“, si legge nel rapporto.
I team di sicurezza nel mirino
Tra novembre 2023 e marzo 2024, sono stati registrati più domini da un attore di minaccia che imitavano software tipicamente utilizzati dai team di sicurezza IT e amministrazione di rete nelle imprese.
“La nostra analisi è iniziata con il dominio, advansed-ip-scanner[.]net, che era attivo al momento dell’analisi e serviva un payload.”, spiegano i ricercatori, “Le informazioni WHOIS per questo dominio hanno rivelato che l’indirizzo email dell’aggressore utilizzato per la registrazione è wh8842480@gmail.com .Una rapida ricerca WHOIS inversa utilizzando questo indirizzo e-mail ha rivelato 45 domini registrati tra novembre 2023 e marzo 2024 per falsificare vari software di scansione di rete e di gestione IT.”
Tale attività si allinea con la tendenza recente osservata in cui gruppi APT (Advanced Persistent Threat) come NOBELIUM, hanno elaborato attacchi mirati a questi team. Con il loro accesso privilegiato ai sistemi e alle reti interni, i team di gestione della sicurezza IT e della rete sono obiettivi attraenti sia per i gruppi APT che per gli IAB (Initial Access Broker) che vendono l’accesso a reti compromesse.
Serio avvertimento per vigilanza costante
Sebbene non sia ancora stato attribuito l’attacco a un attore di minaccia specifico, è importante evidenziare questa tendenza emergente. Gli attori di minaccia hanno precedentemente sfruttato il malvertising di Google per distribuire versioni trojanizzate di uno specifico strumento di scansione delle porte chiamato Advanced IP Scanner, come descritto in rapporti BlackBerry e Huntress.
In conclusione, la campagna di malvertising e la backdoor MadMxShell rappresentano un serio avvertimento per i team IT e sottolineano la necessità di una vigilanza costante e di soluzioni di sicurezza robuste per proteggere le infrastrutture critiche dalle minacce avanzate.
