Скрытый бэкдор в фейковых IP-сканерах продвигается с помощью Google Ads

Вероника Дубровская 18 Апреля 2024 - 15:32

...

Скрытый бэкдор в фейковых IP-сканерах продвигается с помощью Google Ads

Новая вредоносная рекламная кампания в Google подкидывает пользователю бэкдор под названием MadMxShell, используя кластер доменов, имитирующих легитимные IP-сканеры.

Исследователи из Zscaler ThreatLabz рассказывают, что злоумышленники зарегистрировали несколько доменных имен, близких по написанию к адресам популярных сайтов, и c помощью Google Ads, по ключевым словам, вывели эти домены в топ результатов поисковой системы. Хакеры рассчитывали на невнимательность жертв.

Пользователям открываются фиктивные сайты, содержащие JavaScript-код, который загружает на устройство вредоносный файл «Advanced-ip-scanner.zip» при нажатии кнопки загрузки.

В ZIP-архиве присутствует библиотека «IVIEWERS.dll» и исполняемый файл «Advanced-ip-scanner.exe». Последний использует метод сторонней загрузки DLL для заражения.

DLL-файл отвечает за внедрение шелл-кода в процесс «Advanced-ip-scanner.exe» с помощью техники, называемой «Process Hollowing» (внедрение в пустой процесс), после чего вредоносный EXE-файл распаковывает два дополнительных файла – «OneDrive.exe» и «Secur32.dll».

«OneDrive.exe», легитимный подписанный двоичный файл Microsoft, затем используется для боковой загрузки «Secur32.dll» и в конечном счете для выполнения шелл-кода бэкдора, но не раньше, чем он будет сохранен на хосте с помощью запланированной задачи и отключения антивируса Microsoft Defender.

Бэкдор предназначен для сбора системной информации, запуска команд через cmd.exe и выполнения основных операций с файлами, таких как чтение, запись и удаление файлов.

Стало известно, что было зарегистрировано 45 доменов в период с ноября 2023-го по март 2024 года, которые маскировались под известные программы для сканирования портов и управления ИТ, такие как Advanced IP Scanner, Angry IP Scanner, IP-сканер PRTG и ManageEngine.

Хоть это уже не первый случай заражения устройств пользователей через фиктивные сайты с помощью вредоносной рекламы, данная разработка впервые распространяет сложный бэкдор для Windows.

Компания Zscaler заявила, что пока ничего не известно о злоумышленниках и их намерениях, но уже есть зацепки в виде учетных записей, созданных на криминальных подпольных форумах. Ещё в июне 2023 года хакеры предлагали способы создания неограниченных предварительно финансируемых Google аккаунтов, что указывает на их заинтересованность в создании и запуске их собственной длительной кампании вредоносной рекламы.

Следующая главная новость »

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!

Екатерина Быстрова 01 Апреля 2026 - 10:50

Трояны Домашние пользователи Лаборатория Касперского

Новый троян-пранкер атакует россиян и издевается над жертвами

Эксперты Kaspersky GReAT обнаружили новый троян CrystalX, который атакует российских пользователей и сочетает в себе сразу несколько опасных функций. Он умеет не только красть данные и следить за владельцем устройства, но и буквально устраивать над жертвой жестокий «розыгрыш», демонстративно вмешиваясь в работу компьютера в реальном времени.

По сути, CrystalX — это не просто RAT, а целый набор вредоносных инструментов в одном. В нём сочетаются возможности стилера, кейлоггера, клиппера и шпионского софта.

Зловред может собирать системную информацию, похищать данные из браузеров, а также учётные записи Steam, Discord и Telegram. Отдельный риск он представляет для владельцев криптовалюты, поскольку умеет подменять адреса криптокошельков в буфере обмена.

Помимо этого, CrystalX умеет делать то, что выделяет его на фоне многих других вредоносных инструментов: злоумышленники могут вживую управлять заражённым устройством и превращать атаку в настоящее психологическое давление. Например, заставлять курсор дрожать, менять обои, переворачивать экран, скрывать иконки, выключать систему и отправлять жертве всплывающие сообщения. То есть пользователь не просто теряет контроль над компьютером, он ещё и видит это собственными глазами.

Кроме того, троян способен вести полноценную слежку. Он может делать снимки экрана, записывать звук с микрофона и видео — как с веб-камеры, так и непосредственно с экрана устройства. Получается довольно неприятная комбинация: кража данных, слежка и откровенное запугивание в одном пакете.

Отдельно эксперты обращают внимание на модель распространения CrystalX. Этот инструмент продвигается по схеме Malware-as-a-Service, то есть как «зловред по подписке» или как готовый сервис для других злоумышленников. Его рекламу уже заметили на YouTube и в Telegram. Такая модель заметно снижает порог входа для атакующих: пользоваться подобным инструментом могут не только опытные киберпреступники, но и менее квалифицированные злоумышленники.

Как отметил старший эксперт Kaspersky GReAT Леонид Безвершенко, CrystalX — это полнофункциональный инструмент для кражи данных и слежки, который к тому же позволяет оказывать на жертву дополнительное психологическое давление. По его словам, телеметрия компании уже фиксирует новые версии имплантов, а значит, зловред активно развивается и поддерживается. В Kaspersky ожидают, что в ближайшее время число жертв вырастет, а география распространения расширится.

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!