Скрытый бэкдор в фейковых IP-сканерах продвигается с помощью Google Ads

Вероника Дубровская 18 Апреля 2024 - 15:32

...

Скрытый бэкдор в фейковых IP-сканерах продвигается с помощью Google Ads

Новая вредоносная рекламная кампания в Google подкидывает пользователю бэкдор под названием MadMxShell, используя кластер доменов, имитирующих легитимные IP-сканеры.

Исследователи из Zscaler ThreatLabz рассказывают, что злоумышленники зарегистрировали несколько доменных имен, близких по написанию к адресам популярных сайтов, и c помощью Google Ads, по ключевым словам, вывели эти домены в топ результатов поисковой системы. Хакеры рассчитывали на невнимательность жертв.

Пользователям открываются фиктивные сайты, содержащие JavaScript-код, который загружает на устройство вредоносный файл «Advanced-ip-scanner.zip» при нажатии кнопки загрузки.

В ZIP-архиве присутствует библиотека «IVIEWERS.dll» и исполняемый файл «Advanced-ip-scanner.exe». Последний использует метод сторонней загрузки DLL для заражения.

DLL-файл отвечает за внедрение шелл-кода в процесс «Advanced-ip-scanner.exe» с помощью техники, называемой «Process Hollowing» (внедрение в пустой процесс), после чего вредоносный EXE-файл распаковывает два дополнительных файла – «OneDrive.exe» и «Secur32.dll».

«OneDrive.exe», легитимный подписанный двоичный файл Microsoft, затем используется для боковой загрузки «Secur32.dll» и в конечном счете для выполнения шелл-кода бэкдора, но не раньше, чем он будет сохранен на хосте с помощью запланированной задачи и отключения антивируса Microsoft Defender.

Бэкдор предназначен для сбора системной информации, запуска команд через cmd.exe и выполнения основных операций с файлами, таких как чтение, запись и удаление файлов.

Стало известно, что было зарегистрировано 45 доменов в период с ноября 2023-го по март 2024 года, которые маскировались под известные программы для сканирования портов и управления ИТ, такие как Advanced IP Scanner, Angry IP Scanner, IP-сканер PRTG и ManageEngine.

Хоть это уже не первый случай заражения устройств пользователей через фиктивные сайты с помощью вредоносной рекламы, данная разработка впервые распространяет сложный бэкдор для Windows.

Компания Zscaler заявила, что пока ничего не известно о злоумышленниках и их намерениях, но уже есть зацепки в виде учетных записей, созданных на криминальных подпольных форумах. Ещё в июне 2023 года хакеры предлагали способы создания неограниченных предварительно финансируемых Google аккаунтов, что указывает на их заинтересованность в создании и запуске их собственной длительной кампании вредоносной рекламы.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 10 Июля 2025 - 10:18

Малый и средний бизнес Корпорации Газинформсервис

«Газинформсервис» запускает обновлённую «Биржу ИБ- и IT-стартапов»

С 1 июля по 28 августа компания «Газинформсервис» проводит отбор участников для обновлённой «Биржи ИБ- и IT-стартапов». Для подачи заявки достаточно заполнить анкету на сайте проекта или отправить презентацию на pr@gaz-is.ru. Победитель получит медийную поддержку и доступ к аудитории одного из ключевых форумов кибербезопасности Global Information Security Days* (GIS DAYS) 2025.

В 2024 году проект привлёк более 100 стартапов, а также внимание венчурных фондов, корпоративных заказчиков и ведущих специалистов по кибербезопасности. В 2025-м организаторы сделали акцент на решениях для защиты данных и IT-инфраструктуры.

Для участия важно наличие прототипа или MVP (минимально жизнеспособного продукта). Отобранные экспертами проекты будут представлены на питч-сессиях. А финал конкурса пройдёт 3 октября в рамках форума GIS DAYS 2025, где назовут победителя.

Для стартапов это шанс привлечь финансирование, усилить позиции на рынке и выстроить партнёрские связи с крупными компаниями и инвесторами.

Акцент на кибербезопасности

«В этом году мы вывели "Биржу ИБ- и IT-стартапов" на новый уровень, сделав фокус на информационной безопасности, — отмечает Николай Нашивочников, технический директор компании «Газинформсервис». — Проект уже получил широкую поддержку технологических центров и вузов, а это значит, что рынок ждёт прорывных решений в ИБ. Но главное — мы не просто проводим конкурс, а создаём экосистему: победители получат долгосрочное пост-проектное взаимодействие, медийное продвижение и доступ к экспертной сети партнёров».

Тематические направления 2025 года

Защита IT-инфраструктуры (аппаратные и программные решения).
Безопасность рабочих мест и серверов.
Средства PKI и контроля доступа.
Другие актуальные направления (полный список — на сайте проекта https://startup.gaz-is.ru/?erid=2Vfnxy442TJ).

Медиаподдержка

Лучшие проекты представят в СМИ, включая деловые издания, соцсети, телеграм-каналы и профильные ИБ-ресурсы.

Цель инициативы — помочь перспективным стартапам в сфере кибербезопасности и IT выйти на рынок и найти первых клиентов.

Регистрация и подробности: https://startup.gaz-is.ru/?erid=2Vfnxy442TJ

* дни глобальной информационной безопасности