本文揭露了针对IT团队的恶意恶意广告活动，该活动使用名为MadMxShell的新颖后门。了解一下攻击者如何使用域名仿冒和DNS技术来破坏系统。

在最近一波网络攻击中，IT专业人员已成为Zscaler ThreatLabz研究人员Roy Tay和Sudeep Singh发现的狡猾恶意广告活动的目标。

根据该公司的研究，该活动利用欺骗性在线广告来传播一个名为“MadMxShell”的前所未见的后门。这一切都始于2024年3月，当时Zscaler ThreatLabz发现一个威胁参与者使用相似的域来分发MadMxShell，利用DLL侧载、DNS协议滥用和内存取证安全解决方案。

研究人员认为，攻击者展示了一种精心策划的方法。2023年11月至2024年3月期间，攻击者注册了多个与流行IP扫描仪和网络管理软件非常相似的域名，包括Advanced IP Scanner、Angry IP Scanner、Paessler的PRTG IP Scanner、Manage Engine以及与VLAN相关的网络管理任务。

这种策略被称为“错字抢注”。这使得域名很有可能出现在热门搜索中，并且IT专业人员可能会错误地点击恶意广告。

一旦点击，广告就会将用户重定向到一个看起来像正版软件供应商网站的登陆页面。在这里，他们会看到一个可下载的文件，但他们并不知道该文件包含MadMxShell后门。

根据Zscaler的博客文章，MadMxShell后门采用多阶段部署过程，旨在逃避传统安全解决方案的检测。初始有效负载利用DLL侧面加载，这是一种欺骗合法程序加载恶意库文件的技术。然后，该恶意库会下载其他组件，与攻击者的命令和控制(C2)服务器建立通信。

MadMxShell最令人关注的方面之一是它使用DNS MX记录查询进行C2通信。该技术以非常规方式利用标准域名系统(DNS)协议来掩盖与攻击者基础设施的通信。此外，MadMxShell采用反转储技术来阻止内存分析，使安全研究人员难以了解其内部工作原理。

为了降低风险，请警惕不请自来的广告，启用弹出窗口拦截器，维护强大的安全软件，并教育员工了解恶意广告和社会工程策略的危险。

Sectigo产品高级副总裁Jason Soroko对新活动发表了评论。“防御者通常不会在电子邮件交换DNS流量中寻找恶意控制通信(C2)，因此在这种情况下，攻击者找到了隐藏的地方。攻击者还采用了一种阻止内存‘转储’的技术，以供端点安全解决方案进行分析。”Jason解释道。

“恶意广告并不新鲜，然而，这里使用的恶意软件技术表明攻击者的技术管道很深，并且大量的思想已经隐藏在网络和操作系统的黑暗角落。”他希望。