Sala de prensa

El CSIRT Finaciero informa a todos los interesados sobre cada uno de los aspectos corporativos relevantes en materia de ciberseguridad.

NUEVA CAMPAÑA MALICIOSA PARA DISTRIBUIR EL BACKDOOR MADMXSHELL

29/07/2024

NUEVA CAMPAÑA MALICIOSA PARA DISTRIBUIR EL BACKDOOR MADMXSHELL
El equipo del Csirt Financiero a través de actividades de monitoreo realizadas a diferentes fuentes de información, observó una nueva campaña de publicidad de Google, simulando ser sitios legítimos de software de escaneo de direcciones IP, para distribuir un backdoor denominado MadMxShell.

Descripción

Esta campaña fue identificada en marzo del 2024 donde los actores de amenaza utilizan técnicas de typosquatting, así como el aprovechamiento de Google Ads para colocar estos sitios web maliciosos en los primeros resultados de los motores de búsqueda.

Los usuarios son dirigidos a sitios falsos que descargan un archivo comprimido malicioso, que contiene un DLL y un ejecutable. El ejecutable carga el DLL usando una técnica de carga lateral para activar la infección. La DLL inyecta código en el proceso del ejecutable, descomprime archivos adicionales y utiliza un binario legítimo de Microsoft (OneDrive.exe) para ejecutar el backdoor. Se establece persistencia en el host mediante una tarea programada y se deshabilita el antivirus Microsoft Defender.

Este backdoor utiliza técnicas de carga lateral de DLL y la explotación del protocolo DNS para la comunicación con el servidor de comando y control (C2). Además, implementa medidas evasivas para eludir la detección de herramientas de antimalware.

En la reciente campaña dirigida principalmente a profesionales de TI, especialmente aquellos que trabajan en seguridad y administración de redes con el objetivo de comprometer a los usuarios y equipos para obtener acceso privilegiado a sistemas y redes internas.

Los sitios web falsificados de los programas de escaneo de direcciones IP son:

  • Advanced IP Scanner
  • Angry IP Scanner
  • PRTG IP Scanner by Paessler
  • Manage Engine.

Vector de infección

El vector de infección utilizado en esta campaña para distribuir el backdoor MadMxShell consiste en la creación de múltiples dominios falsificados que imitan sitios legítimos de software de escaneo de direcciones IP. Estos dominios son promovidos a través de anuncios maliciosos en Google Ads, los usuarios que hacen clic en estos anuncios son redirigidos a los sitios falsificados, donde son engañados para descargar e instalar el backdoor MadMxShell disfrazado como software legítimo de escaneo de direcciones IP.

Recomendaciones

La amenaza analizada puede ser mitigada o detectada en su infraestructura tecnológica aplicando las siguientes recomendaciones:

  • Verificar cada uno de los indicadores de compromiso (IoC) adjuntos en el presente producto, los cuales pueden ser implementados en sus sistemas de seguridad perimetral; por lo anterior, el equipo del Csirt Financiero recomienda validar que no se interrumpa la disponibilidad de la operación y/o prestación de sus servicios (los hash md5, sha1 y sha256 son equivalentes).
  • Utilizar soluciones de filtrado de contenido web para bloquear el acceso a sitios web maliciosos y para detectar descargas de archivos sospechosos.
  • Implementar la autenticación de doble factor (2FA) o autenticación multifactor (MFA) para reforzar la seguridad de las cuentas de usuario.
  • Estar atento a URL mal escritas, errores ortográficos y otras señales de que un sitio web pueda ser falso.

Leer noticia: https://thehackernews.com/2024/04/malicious-google-ads-pushing-fake-ip.html