MadMxShell 後門透過惡意廣告傳播

最近濫用 Google Ads 的惡意廣告活動涉及一系列類似於合法 IP 掃描工具的網站，旨在分發名為 MadMxShell 的新後門。 Zscaler ThreatLabz 的研究人員發現，攻擊者使用網域仿冒策略註冊了許多類似的網域。他們利用 Google Ads 來推廣這些域名，利用特定的搜尋字詞來吸引訪客。 2023 年 11 月至 2024 年 3 月期間創建了大約 45 個域名，冒充 Advanced IP Scanner 和 ManageEngine 等各種軟體工具。這標誌著此類方法首次用於傳播複雜的 Windows 後門。

初始攻擊從惡意 JavaScript 開始

搜尋這些工具的受害者會被引導至包含 JavaScript 程式碼的欺騙性網站，該程式碼會觸發惡意檔案（「Advanced-ip-scanner.zip」）的下載。 ZIP 檔案內有兩個檔案：「IVIEWERS.dll」和「Advanced-ip-scanner.exe」。後者利用 DLL 旁加載來啟動感染過程。然後，DLL 透過進程空洞將 shellcode 注入到 EXE 檔案中，從而解壓縮其他檔案—「OneDrive.exe」和「Secur32.dll」。合法的 OneDrive.exe 被濫用來載入 Secur32.dll 並執行 shellcode 後門，同時也建立持久性並停用 Microsoft Defender 防毒軟體。

MadMxShell後門附帶多種工具包

此後門因其使用 DNS MX 查詢進行命令和控制 (C2) 而得名，具有收集系統資訊、執行命令和管理文件等功能。它使用 DNS 隧道與 C2 伺服器（“litterbolo[.]com”）通信，採用各種技術來逃避安全措施，包括多階段 DLL 側面加載和反傾銷方法。

儘管惡意軟體操作者的起源和動機尚不清楚，但 Zscaler 在地下論壇上發現了兩個與他們相關的帳戶，這些帳戶使用電子郵件地址 wh8842480@gmail[.]com 創建。這些論壇上出現了與設定 Google AdSense 門檻帳戶相關的討論，暗示攻擊者對長期惡意廣告活動感興趣。