据观察，一个身份不明的威胁参与者将伪装成合法 IP 扫描软件站点的域集群武器化，通过以前未见过的 Windows 后门分发恶意软件。Zscaler ThreatLabz在4 月 17 日的博客文章中表示，威胁行为者使用误植技术注册了多个相似的域名，并利用Google Ads将这些欺诈性域名推到针对特定搜索关键字的搜索引擎结果的顶部，从而引诱潜在受害者访问这些域名。 IP 扫描仪站点。Zscaler 研究人员表示，新发现的后门使用了多种技术，例如多阶段 Windows DLL 侧载、滥用 DNS 协议与命令和控制 (C2) 服务器通信以及逃避内存取证安全解决方案。Zscaler 将这个后门称为“MadMxShell”，因为它使用 DNS MX 查询进行 C2 通信，并且 C2 请求之间的间隔非常短。

研究人员写道：“该威胁行为者选择的欺骗软件表明，他们的目标主要由 IT 专业人员组成，特别是从事 IT 安全和网络管理工作的人员。” “这与最近观察到的趋势一致，即Nobelium等高级持续威胁组织针对这些团队发起了攻击。”Critical Start 的网络威胁情报研究分析师 Sarah Jones 表示，MadMxShell 活动因其多管齐下的方式而成为一种特别独特且危险的 Windows 后门。 Jones 表示，与大多数广撒网的后门不同，MadMxShell 针对特定群体：IT 安全和网络管理团队。

针对安全专家的影响比仅仅窃取凭证的影响更大
“这些人拥有访问网络最关键系统和数据的特权，”琼斯说。 “成功的攻击可以为攻击者提供获取最有价值资产的简单途径。此外，该活动还通过恶意广告利用了巧妙的社会工程策略。通过使用流行 IT 安全和网络管理软件的相似域，他们诱骗 IT 专业人员信任来源并下载恶意软件。” 更糟糕的是，琼斯补充说，MadMxShell 采用了多层混淆，使得检测隐藏在其中的恶意内容变得极其困难。 “面对这种复杂性，传统的安全软件可能变得毫无用处，”琼斯说。 Menlo Security 的 Xen Madden 网络安全专家表示，只要恶意广告仍然成功，我们就可能会看到许多类型的恶意软件转向使用这种传递方法，这标志着一系列不幸的第一次。 Madden 表示，我们不能夸大 Windows 后门的重要性，因为它们允许威胁行为者完全访问他们想要操纵的系统。

马登说：“这种访问之后，任何陷入恶意广告的公司都可能遭受大规模勒索软件攻击。” “它的影响不仅仅是被盗的凭证，而且可以快速更改。”Cyware 总监艾米丽·菲尔普斯 (Emily Phelps) 表示，与传统的恶意广告不同，传统的恶意广告可能会扩展到相对简单的安装和网络钓鱼尝试，Windows 后门提供对受害者系统的持久访问。

菲尔普斯说：“这个后门让攻击者能够未经授权地访问受害者的计算机系统，从而可能导致数据盗窃、监视和恶意软件的进一步传播。远程控制系统的能力可以使攻击者能够操纵或破坏操作，从而构成威胁。”对个人、企业和政府网络造成的安全风险一旦安装后门，检测和删除也可能具有挑战性，从而使受感染的系统容易受到持续的攻击。”