В Интернете появились сайты-подделки, имитирующие сервисы для определения всех подключённых к сети устройств — IP-сканеры. Мошенники через рекламную сеть Google Ads продвигают в поисковой системе сайты с доменными именами, которые по написанию очень похожи на легитимные.
Таким образом пользователь, которому нужно попасть на IP-сканер, на самом деле оказывается втянут в мошенническую кампанию по внедрению на его девайс бэкдора MadMxShel.
На поддельных сайтах, при инициировании загрузки, воспроизводится JavaScript, загружающий на устройство жертвы вредоносный заархивированный файл Advanced-ip-scanner.zip якобы с ПО для сканирования IP. В архиве находится библиотека IVIEWERS.dll, а также исполняемый файл Advanced-ip-scanner.exe, который использует метод сторонней загрузки DLL для заражения устройства.
Это сложная и многоступенчатая операция, в результате которой пользователь становится жертвой несанкционированного доступа к системе и тайной слежки. Вредоносная кампания рассчитана на невнимательность пользователей.