Les équipes du Threat Labz Zscaler découvrent une campagne de malvertizing
avril 2024 par Zscaler
En mars 2024, Zscaler ThreatLabz a observé un acteur menaçant qui utilisait une grappe de domaines se faisant passer pour des sites légitimes de logiciels d’analyse IP. Leur but ? Distribuer une backdoor inédite.
L’auteur de la menace a enregistré plusieurs domaines similaires à l’aide d’une technique de typosquattage et a utilisé Google Ads pour faire apparaître ces domaines en tête des résultats des moteurs de recherche ciblant des mots clés spécifiques, incitant ainsi les victimes à visiter ces sites.
La nouvelle backdoor découverte utilise plusieurs techniques telles que le fait de mettre en place plusieurs étapes de chargement latéral de DLL, l’utilisation abusive du protocole DNS pour communiquer avec le serveur de commande et de contrôle (C2) et l’évitement des solutions de sécurité de l’analyse de la mémoire.
Nous avons baptisé cette porte backdoor "MadMxShell" en raison de son utilisation des requêtes DNS MX pour la communication C2 et de l’intervalle très court entre les requêtes C2.
Dans ce post de blog, les experts Threat Labz Zscaler examinent les détails de la campagne, l’infrastructure de l’acteur de la menace et une analyse technique détaillée de la backdoor. Ils partagent également un script Python personnalisé pour décoder le trafic C2 des échantillons de logiciels malveillants et tous les indicateurs de compromission (IOC) liés à cette campagne.
Pour récapituler :
– Entre novembre 2023 et mars 2024, plusieurs domaines ont été enregistrés par un acteur de la menace qui a usurpé l’identité de scanners IP légitimes et d’autres logiciels généralement utilisés par les équipes de sécurité informatique et d’administration de réseau dans les entreprises.
– L’acteur de la menace a utilisé Google Ads pour mener une campagne de publicité malveillante dans le but de placer ses sites malveillants en tête des résultats de recherche.
Une infection réussie entraîne la livraison d’une backdoor inédite que les experts Zscaler ont baptisée "MadMxShell".
– La backdoor utilise des techniques telles que le sideloading de DLL en plusieurs étapes et le tunneling DNS pour les communications de commande et de contrôle (C2) afin d’échapper aux solutions de sécurité des points d’extrémité et du réseau, respectivement.
– En outre, la porte dérobée utilise des techniques d’évasion telles que l’anti-dumping pour empêcher l’analyse de la mémoire et entraver les solutions de sécurité médico-légales.