安全研究人员在GoogleAds中发现了另一个恶意广告活动，黑客冒充了多家合法软件公司。虽然这次活动肯定不是此类活动中的第一次，但据说它因分发复杂的Windows后门而独一无二。

该活动首先由ZscalerThreat实验室的网络安全研究人员发现，他们指出，在2023年11月至2024年3月期间，身份不明的威胁行为者注册了至少45个域名。它们都是端口扫描和IT管理软件公司的域名抢注版本，例如AdvancedIPScanner、AngryIPScanner、IP扫描器PRTG和ManageEngine。

然后，他们设法在GoogleAds上创建广告活动来推广这些网站。通常，黑客会通过获取合法GoogleAds帐户的访问权限来做到这一点，该帐户可能是有“干净”广告记录的帐户。

因此，任何人在Google上搜索此类软件，都会在搜索引擎结果页面顶部以及其他广告预留位置看到这些广告。打开该网站并下载其中提供的程序的人最终会获得MadMxShell后门。

据HackerNews报道，该后门是一个全新的恶意软件，其感染链相对较长，包含多个DLL和EXE文件。

研究人员解释说：“该后门使用多阶段DLL侧载和DNS隧道等技术进行命令与控制(C2)通信，作为逃避端点和网络安全解决方案的手段。”