MadMxShell 后门通过恶意广告传播

最近一次滥用 Google Ads 的恶意广告活动涉及一系列类似于合法 IP 扫描工具的网站，旨在传播名为 MadMxShell 的新后门。Zscaler ThreatLabz 的研究人员发现，攻击者使用域名抢注策略注册了许多类似的域名。他们利用 Google Ads 推广这些域名，利用特定的搜索词来吸引访问者。2023 年 11 月至 2024 年 3 月期间，大约创建了 45 个域名，冒充各种软件工具，如 Advanced IP Scanner 和 ManageEngine。这是首次使用这种方法传播复杂的 Windows 后门。

初始攻击始于恶意 JavaScript

搜索这些工具的受害者会被引导至包含 JavaScript 代码的欺骗性网站，这些代码会触发下载恶意文件（“Advanced-ip-scanner.zip”）。ZIP 文件中有两个文件：“IVIEWERS.dll”和“Advanced-ip-scanner.exe”。后者使用 DLL 侧载来启动感染过程。然后，DLL 通过进程挖空将 shellcode 注入 EXE 文件中，从而解压其他文件 - “OneDrive.exe”和“Secur32.dll”。合法的 OneDrive.exe 被滥用来加载 Secur32.dll 并执行 shellcode 后门，同时建立持久性并禁用 Microsoft Defender Antivirus。

MadMxShell 后门带有多种工具包

该后门因使用 DNS MX 查询进行命令与控制 (C2) 而得名，具有收集系统信息、执行命令和管理文件等功能。它使用 DNS 隧道与 C2 服务器（“litterbolo[.]com”）通信，采用各种技术来规避安全措施，包括多阶段的 DLL 侧载和反转储方法。

虽然恶意软件操作员的来源和动机尚不清楚，但 Zscaler 在地下论坛上发现了两个与他们相关的帐户，这些帐户使用电子邮件地址 wh8842480@gmail[.]com 创建。这些论坛上出现了与设置 Google AdSense 门槛帐户相关的讨论，暗示攻击者有意进行长期的恶意广告活动。