Скрытый бэкдор в фейковых IP-сканерах продвигается с помощью Google Ads

Скрытый бэкдор в фейковых IP-сканерах продвигается с помощью Google Ads

Скрытый бэкдор в фейковых IP-сканерах продвигается с помощью Google Ads

Новая вредоносная рекламная кампания в Google подкидывает пользователю бэкдор под названием MadMxShell, используя кластер доменов, имитирующих легитимные IP-сканеры.

Исследователи из Zscaler ThreatLabz рассказывают, что злоумышленники зарегистрировали несколько доменных имен, близких по написанию к адресам популярных сайтов, и c помощью Google Ads, по ключевым словам, вывели эти домены в топ результатов поисковой системы. Хакеры рассчитывали на невнимательность жертв.

Пользователям открываются фиктивные сайты, содержащие JavaScript-код, который загружает на устройство вредоносный файл «Advanced-ip-scanner.zip» при нажатии кнопки загрузки.

В ZIP-архиве присутствует библиотека «IVIEWERS.dll» и исполняемый файл «Advanced-ip-scanner.exe». Последний использует метод сторонней загрузки DLL для заражения.

DLL-файл отвечает за внедрение шелл-кода в процесс «Advanced-ip-scanner.exe» с помощью техники, называемой «Process Hollowing» (внедрение в пустой процесс), после чего вредоносный EXE-файл распаковывает два дополнительных файла – «OneDrive.exe» и «Secur32.dll».

«OneDrive.exe», легитимный подписанный двоичный файл Microsoft, затем используется для боковой загрузки «Secur32.dll» и в конечном счете для выполнения шелл-кода бэкдора, но не раньше, чем он будет сохранен на хосте с помощью запланированной задачи и отключения антивируса Microsoft Defender.

Бэкдор предназначен для сбора системной информации, запуска команд через cmd.exe и выполнения основных операций с файлами, таких как чтение, запись и удаление файлов.

 

Стало известно, что было зарегистрировано 45 доменов в период с ноября 2023-го по март 2024 года, которые маскировались под известные программы для сканирования портов и управления ИТ, такие как Advanced IP Scanner, Angry IP Scanner, IP-сканер PRTG и ManageEngine.

Хоть это уже не первый случай заражения устройств пользователей через фиктивные сайты с помощью вредоносной рекламы, данная разработка впервые распространяет сложный бэкдор для Windows.

Компания Zscaler заявила, что пока ничего не известно о злоумышленниках и их намерениях, но уже есть зацепки в виде учетных записей, созданных на криминальных подпольных форумах. Ещё в июне 2023 года хакеры предлагали способы создания неограниченных предварительно финансируемых Google аккаунтов, что указывает на их заинтересованность в создании и запуске их собственной длительной кампании вредоносной рекламы.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

С 1 августа можно будет отказаться от массовых рассылок

С 1 августа россияне смогут отказаться от получения массовых рассылок от операторов связи. Для этого достаточно воспользоваться личным кабинетом или мобильным приложением своего оператора. Новая мера направлена на защиту граждан от навязчивой рекламы и мошеннических сообщений.

Как напомнил в беседе с РИА Новости член комитета Госдумы по информационной политике Антон Немкин, с 1 августа вступает в силу закон, предоставляющий гражданам право отказываться от получения массовых рассылок.

Сделать это можно будет через личный кабинет или мобильное приложение оператора связи. По мнению депутата, массовые рассылки нередко используются мошенниками для распространения ссылок на вредоносные сайты, а также рекламы сомнительных или запрещённых товаров и услуг.

«Новый порядок поможет сделать такие схемы менее массовыми и менее эффективными. Следующий этап — запрет на массовые обзвоны без согласия абонента с сентября 2025 года. А до конца года на портале "Госуслуги" появится сервис, с помощью которого можно будет пожаловаться на нарушения. Операторы связи будут обязаны прекратить рассылку по заявлению абонента — и это будет законодательно закреплено», — рассказал Антон Немкин.

Парламентарий назвал эти меры важным шагом к созданию в России полноценной системы управления цифровыми согласиями. Такая система позволит каждому пользователю самостоятельно определять, кто имеет право обращаться к нему по электронным каналам связи.

Согласно исследованию BI.Zone, 70% опрошенных получали рекламные сообщения от компаний, которым они не давали явного согласия. При этом действующие процедуры сбора согласий, закреплённые в законодательстве, серьёзно устарели и создают значительные неудобства как для бизнеса, так и для пользователей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru