Dangerous Hooded Hacker Breaks into Government Data Servers and Infects Their System with a Virus. His Hideout Place has Dark Atmosphere, Multiple Displays, Cables Everywhere.
Sicherheitsforscher des Zscaler ThreatLabz-Teams haben eine neue Backdoor mit dem Namen MadMxShell entdeckt. Ein bisher unbekannter Bedrohungsakteur versucht über einen gefälschten IP-Scanner, einen Zugriff auf IT-Umgebungen zu erlangen. Zu diesem Zweck wurden verschiedene ähnlich aussehende Domains registriert, die den Namen von beliebten Port-Scan-Anwendungen nachahmen (Typo-Squatting).
Die Domain-Namen wiederum wurden über Google-Ads-Kampagnen beworben und so an die Spitze der Suchergebnisse für zielgerichtete Keywords gebracht, um Opfer durch flüchtiges Lesen der imitierten Domain-Namen zum Klicken zu verleiten. Registriert wurden die neuen Domänen für die Malvertising-Kampagne zwischen November 2023 und März 2024.
Die Kampagne soll vor allem IT-Teams und Netzwerk-Administratoren ansprechen, die IP-Scanner typischerweise verwenden. Eine erfolgreiche Infektion führt zur Bereitstellung der MadMxShell-Backdoor, die fortschrittliche Techniken wie DLL-Sideloading und DNS-Tunneling für die Kommunikation mit einem Befehlsserver nutzt. Diese Backdoor unterläuft dabei herkömmliche Sicherheitslösungen durch den Einsatz von Anti-Dumping-Techniken, die Speicheranalysen und Forensik verhindern. Zscaler hat der Backdoor den Namen MadMxShell verliehen aufgrund des Einsatzes von DNS-MX-Anfragen für die Befehlsserver-Kommunikation, die in kurzen Zeitintervallen erfolgen.
Die Nutzung von Google Malvertising als Verbreitungsmethode für Trojaner, die es auf Advanced IP Scanner abgesehen haben, ist nicht neu. Allerdings wurde in der nun beobachteten Kampagne der Funktionsumfang über IP Scanner auf IT Management-Software erweitert und ahmt nun die folgenden legitimen Tools nach: Advanced IP Scanner, Angry IP Scanner, PRTG IP Scanner by Paessler und Manage Engine. Außerdem wurde die Malware, die über diese Kampagne ausgeliefert wird, nach aktuellem Wissensstand noch nicht öffentlich dokumentiert, was auf einen anderen Bedrohungsakteur hindeutet.
„Die Gefahr, die von dieser Malvertising-Kampagne ausgeht, zeigt ein hohes Maß an fortschrittlichen Taktiken, Techniken und Vorgehensweisen, die auf IT-Sicherheits- und Netzwerkexperten abzielen“, kommentiert Zscaler. „Die kontinuierliche Überwachung solcher sich fortentwickelnden Angriffsmuster ist entscheidend für den Schutz von Unternehmen. Bewährte Sicherheitspraktiken und Vorsicht ist beim Klick auf Links, die in den Top-Ergebnissen von Suchmaschinen erscheinen, sind angeraten. Außerdem sollte das Herunterladen von Software ausschließlich über die offiziellen Websites der Entwicklerfirmen erfolgen.“
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…