Desde março de 2024, uma campanha maliciosa está explorando uma série de domínios que se passavam por sites legítimos de software de scanner de IP para distribuir um backdoor. Esses domínios foram criados usando a técnica de typosquatting e promovidos através de anúncios no Google Ads para aparecer no topo dos resultados de pesquisa, atraindo vítimas com palavras-chave específicas.

Este backdoor, apelidado de “MadMxShell”, utiliza múltiplas técnicas para evadir a detecção e análise, incluindo o carregamento lateral de DLLs em várias etapas, abuso do protocolo DNS para comunicação com o servidor de comando e controle (C2), e técnicas para evitar a forense de memória. Uma das características distintas do MadMxShell é o uso de consultas DNS MX para comunicação C2 e o intervalo muito curto entre as solicitações ao C2.

A campanha e a infraestrutura do ator de ameaças foram detalhadamente analisadas, incluindo uma análise técnica do backdoor. Além disso, foi compartilhado um script Python personalizado para decodificar o tráfego C2 para amostras de malware e todos os Indicadores de Comprometimento (IOCs) associados a esta campanha.

O ator de ameaça registrou múltiplos domínios que imitavam softwares populares de scanner de porta e os promoveu no topo dos resultados de pesquisa do Google através de anúncios. Isso é conhecido como malvertising. O arquivo malicioso foi distribuído por meio de um arquivo ZIP que continha um executável e uma DLL que sideloads várias cargas úteis e executáveis maliciosos. A DLL é desenhada para evadir a detecção por ser maior que o tamanho máximo que muitos produtos de segurança escaneiam.