A partir de marzo de 2024, ThreatLabZ, el equipo de investigación de Zscaler, Inc. identificó una nueva amenaza para los equipos TI de las empresas. Se trata de una campaña sofisticada lanzada por un actor de amenazas que utiliza webs falsificadas de software de escaneo de IP legítimos para distribuir “MadMxShell”, una puerta trasera peligrosa que no se había visto hasta ahora.
Esta campaña maliciosa destaca por el uso de técnicas avanzadas como el typosquatting y la publicidad maliciosa a través de Google Ads y está orientada a profesionales de TI. Los dominios falsificados fueron optimizados para aparecer en la cima de los resultados de búsqueda, atrayendo a las víctimas a descargar malware que compromete severamente la seguridad de las redes empresariales. Además, MadMxShell utiliza múltiples etapas de carga lateral de DLL, abusa del protocolo DNS para comunicarse con el servidor de comando y control (C2) y evade soluciones de seguridad forense de memoria con técnicas como el antidumping.
Impacto potencial y recomendaciones
El periodo entre noviembre de 2023 y marzo de 2024 marcó una etapa crítica, con varios dominios registrados que imitaban escáneres de IP legítimos, impactando significativamente a los equipos de administración de redes y seguridad de TI en las empresas. Por ello, es crucial verificar la autenticidad de los softwares descargados y la urgencia de implementar soluciones de ciberseguridad avanzadas.
“Recomendamos encarecidamente a los usuarios y a los administradores TI que se mantengan alerta y verifiquen cuidadosamente los enlaces en los resultados de búsqueda de Google, asegurándose de descargar software solo desde los sitios oficiales de los desarrolladores”, concluyen los investigadores.
