MadMxShell распространяется через вредоносную рекламу для IP-сканеров и использует перехват DLL. Он также устанавливает связь с командно-контрольным сервером через OneDrive.exe. WorkersDevBackdoor также распространяется через вредоносную рекламу для IP-сканеров и использует программу установки NSIS с зашифрованным 7z-архивом, в котором содержится полезная нагрузка. Данная нагрузка размещается на Dropbox.
В последнее время наблюдалось множество вредоносных объявлений Google, связанных с IP-сканерами, которые перенаправляли на инфраструктуру, называемую goodgoog1e. Было обнаружено, что большинство объявлений было связано с двумя бэкдорами - MadMxShell и WorkersDevBackdoor. Рекламу размещали под разными именами рекламодателей, такими как Патрик Спилерс и Алекс Робинсон.
На основе данных сетевого трафика удалось выяснить, что MadMxShell использует обфусцированные скрипты и автоматическую загрузку, а WorkersDevBackdoor размещает свою полезную нагрузку на Dropbox с использованием разных URL-адресов. Было обнаружено, что C2-сервер для MadMxShell и инфраструктура доставки WorkersDevBackdoor могут быть связаны.
В целом, данные свидетельствуют о развитии и изменениях в вредоносных рекламных кампаниях, нацеленных на ИТ-персонал. Бэкдоры MadMxShell и WorkersDevBackdoor используются для сбора конфиденциальных данных и запуска программ-вымогателей. Реклама Google, связанная с IP-сканерами, играет важную роль в распространении этих вредоносных программ. Также были выявлены изменения в инфраструктуре и методах доставки этих программ, а также связи между ними.
Indicators of Compromise
Domains
- advanc3d-1p-scan.com
- advanc3d-1p-scan3r.com
- advanc3d-1p-scaner.com
- advanc3d-1p-scann.com
- advanc3d-1p-scanne.com
- advanc3d-1p-scanner.com
- advanc3d-1p-scans.com
- advanc3d-ip-scanner.com
- advanc3d-lp-scaner.com
- advanc3d-lp-scanner.com
- angry1pscan.com
- angry1pscan3r.com
- angry1pscane.com
- angry1pscaner.com
- angry1pscat.com
- angryipo.org
- angryips.org
- angryipsca.com
- angryipsca.org
- angryipscann.com
- angryipscap.com
- angryipscar.com
- angryipscat.com
- angryipscat.net
- angryipscat.online
- angryipscat.org
- angryipscat.tech
- anscan.org
- clockifpy.com
- clockifry.com
- clockify.site
- clockify.space
- clockiify.com
- getstorege.com
- kwzain.space
- odvanced-ip-scanner.com
- timedoct0r.com
- timedoctor.space
- timedoctors.online
- timedoctors.site
- timedoctors.space
URLs
- dropbox.com/scl/fi/0om3wuhw9cqfip7gez6il/ipscan-3.9.1-setup.exe
- dropbox.com/scl/fi/cnbw5pd6kgw8cjmod7yru/ipscan-3.9.1-setup.exe
- dropbox.com/scl/fi/eghhcp5hi7y22ok662mud/ipscan-3.9.1-setup.exe
- dropbox.com/scl/fi/q1xoadn14acxg4wqf5k7s/ipscan-3.9.1-setup.exe
- dropbox.com/scl/fi/z6tdyz5n9hon8ae5nihzt/ipscan-3.9.1-setup.exe
SHA256
- 2264d2a23f365af0830b577360a724798a6132b1a2f4cd08a7ccfaa311ee920a
- 2481ac76f08d691166a425a01cdf1ec8ab5e2fbdf451c1bfc3edcba3e4c482e5
- 24bff1753a60215bab00386ea11e774f0a04e2e45e70dabb122b5a697b67d174
- 40acc736c093ddce187552a653c2fd10ff5df0b45b93ad257901e7593bcee215
- 4a36a35aac6e37959e2337bb74ab9830c5f6c6965da6bb5112d4195350e8baf9
- 55d1a76e4ed7d6ed0018c8129d631a637b591e18e52128dbe891a4382564793b
- 70bc544b5467da13db64b55c0102d821e66454985fea7e77674af53e2364c8ae
- 93962847285d6f81273132e72d66b03a2e6e1a0ff46893e58ad3747762548922
- a8b0e013bd0d350035f12fd6703f7760a87cb218803e68c0eb482753961f2a41
