後門程式MadMxShell透過惡意廣告散布,對方聲稱提供網路管理工具引誘用戶上當
攻擊者為了策畫攻擊行動,很有可能事先就搶下特定網域名稱,以便後續能成功發動攻擊。
例如,資安業者Zscaler上個月發現的後門程式MadMxShell攻擊行動,就是這樣的例子。
他們發現對方從去年11月至今年3月註冊許多網域名稱,這些名稱與網路管理員及資安人員會使用的IP位址掃描工具等應用程式有關,這些應用程式包括近期常被駭客用來誘騙的Advanced IP Scanner、Angry IP Scanner,以及許多網管人員耳熟能詳的PRTG IP Scanner、ManageEngine工具,並透過Google廣告將這些網域名稱推送到特定關鍵字搜尋結果的頂部,企圖引誘上述技術人員上當。
一旦使用者上當,從攻擊者的網站下載安裝程式,他們會取得ZIP壓縮檔,當中除了看似安裝程式的執行檔,還會包含大小高達22 MB的DLL程式庫IVIEWERS.dll,而這個程式庫檔案內含第2階段的有效酬載。前面提到的「安裝程式」,其實是物件檢視器oleview.exe更名而成。
接著,攻擊者透過OneDrive.exe側載Secur32.dll,而該DLL檔案會對特定的圖示資源的XOR編碼進行處理,得到名為MadMxShell的Shell Code,從而收集受害電腦系統資訊,並能執行cmd.exe,以及進行基本的檔案操作。
【資安新聞-iThome】
沒有留言:
張貼留言