MadMxShell
MadMxShell распространяется через вредоносную рекламу для IP-сканеров и использует перехват DLL. Он также устанавливает связь с командно-контрольным сервером через OneDrive.exe. WorkersDevBackdoor также распространяется через вредоносную рекламу для IP-сканеров и использует программу установки NSIS с
Команда Trustwave SpiderLabs обнаружила атаку «водопоя», направленную на пользователей, ищущих легитимный инструмент Advanced IP Scanner.
С начала марта 2024 года специалисты Zscaler ThreatLabz заметили, что один из участников угроз начал использовать группу доменов, которые выглядели как легитимные сайты с программным обеспечением для сканирования IP-адресов, для распространения нового бэкдора, названного "MadMxShell".