Google Ads è stata utilizzata per diffondere un nuovo backdoor Windows nascosto in software IP scanner falsi.
La campagna di malvertising ha registrato più di 45 domini tra novembre 2023 e marzo 2024, che imitano software di scanner IP legittimi come Advanced IP Scanner, Angry IP Scanner, IP scanner PRTG, e ManageEngine.
Gli utenti che cercano questi strumenti sono indirizzati a siti web falsi che contengono JavaScript code progettato per scaricare un file malware (“Advanced-ip-scanner.zip”) quando si fa clic sul pulsante di download. Il file ZIP contiene un DLL file (“IVIEWERS.dll”) e un eseguibile (“Advanced-ip-scanner.exe”), che utilizza tecniche di side-loading per attivare l’infezione.
Il DLL file è responsabile dell’iniezione di shellcode nel processo “Advanced-ip-scanner.exe” utilizzando una tecnica chiamata hollowing del processo. L’iniezione EXE file quindi scompatta due file aggiuntivi, OneDrive.exe e Secur32.dll. OneDrive.exe, un file binario firmato Microsoft legittimo, viene quindi abusato per caricare Secur32.dll, che esegue il backdoor shellcode, ma non prima di aver impostato la persistenza sul host utilizzando un task pianificato e disabilitando Microsoft Defender Antivirus.
Il backdoor, chiamato MadMxShell, utilizza tecniche di evasione come DNS tunneling per la comunicazione C2 e anti-dumping per prevenire l’analisi della memoria. Il malware non ha ancora rivelato la sua origine o le sue intenzioni, ma i ricercatori di Zscaler hanno identificato due account creati dal suo operatore su forum criminali underground come blackhatworld[.]com e social-eng[.]ru.
Per proteggersi da questa campagna di malvertising, gli utenti dovrebbero:
- Evitare di cliccare su annunci sospetti: Se non sei sicuro dell’autenticità di un annuncio, non fare clic su di esso.
- Utilizzare software antivirus affidabili: Assicurati di avere un software antivirus affidabile installato sul tuo dispositivo.
- Mantenere aggiornato il software: Assicurati che il tuo software, inclusi i browser web, sia sempre aggiornato con le ultime patch di sicurezza.
- Utilizzare la navigazione sicura: Utilizza la navigazione sicura del browser web per bloccare i siti web dannosi.
- Essere cauti quando si scaricano file: Assicurati di scaricare solo file da fonti affidabili.
In sintesi, la campagna di malvertising di Google che distribuisce un backdoor Windows nascosto in software IP falsi è una minaccia seria che può causare danni significativi ai dispositivi. Gli utenti devono essere consapevoli di questa minaccia e prendere le precauzioni necessarie per proteggersi.
Fonte: http://thehackernews.com/2024/04/malicious-google-ads-pushing-fake-ip.html
