19 de abril de 2024

Campanha maliciosa no Google Ads distribui backdoor MadMxShell

Compartilhe

Desde março de 2024, uma campanha maliciosa tem se aproveitado de uma série de domínios que se passavam por sites legítimos de software de varredura de IP para disseminar um backdoor. Essa tática enganosa envolve a criação de domínios por meio de typosquatting e a promoção desses sites falsos através de anúncios no Google Ads, visando aparecer no topo dos resultados de pesquisa e atrair vítimas usando palavras-chave específicas.

Backdoor “MadMxShell”

O backdoor utilizado, apelidado de “MadMxShell”, emprega diversas técnicas para evitar a detecção e análise por parte das ferramentas de segurança. Isso inclui o carregamento de DLLs em múltiplas etapas, abuso do protocolo DNS para comunicação com o servidor de comando e controle (C2), e métodos para evitar a investigação de memória. Uma característica notável do MadMxShell é o uso de consultas DNS MX para comunicação C2 e um intervalo muito curto entre as solicitações ao C2.

Análise Detalhada

Toda a campanha e a infraestrutura utilizada pelo ator de ameaças foram minuciosamente examinadas, incluindo uma análise técnica completa do backdoor. Além disso, foi disponibilizado um script Python personalizado para decodificar o tráfego C2 das amostras de malware, juntamente com todos os Indicadores de Comprometimento (IOCs) associados a essa campanha.

Método de Disseminação

O ator de ameaças registrou vários domínios que imitavam softwares populares de varredura de portas e os promoveu no topo dos resultados de pesquisa do Google por meio de anúncios, uma prática conhecida como malvertising. O arquivo malicioso foi distribuído por meio de um arquivo ZIP que continha um executável e uma DLL, esta última projetada para evitar a detecção, já que possui um tamanho maior do que o máximo que muitos produtos de segurança escaneiam.

Conclusão

Essa campanha maliciosa destaca a importância de estar vigilante contra ameaças cibernéticas e ressalta a necessidade contínua de atualizações de segurança e conscientização dos usuários para evitar cair em armadilhas online.

Fonte: BoletimSec

Saiba mais sobre o Seguro Cyber:

Publicado em: campanha google seguro cyber

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Analytics".
cookielawinfo-checkbox-functional	11 months	O cookie é definido pelo consentimento do cookie GDPR para registrar o consentimento do usuário para os cookies na categoria "Funcional".
cookielawinfo-checkbox-necessary	11 months	Este cookie é definido pelo plug-in GDPR Cookie Consent. Os cookies são usados para armazenar o consentimento do usuário para os cookies na categoria "Necessário".
cookielawinfo-checkbox-others	11 months	Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Outros.
cookielawinfo-checkbox-performance	11 months	Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Desempenho".
viewed_cookie_policy	11 months	O cookie é definido pelo plug-in GDPR Cookie Consent e é usado para armazenar se o usuário consentiu ou não com o uso de cookies. Não armazena nenhum dado pessoal.

Manchetes do Mercado