Nitrogen-malware spredes gennem ondsindede annoncer

Hackere har udtænkt en snedig plan kaldet "Nitrogen" for at fælde it-professionelle ved at bruge falske reklamer, også kendt som "malvertisements", der vises på populære søgemaskiner. Disse ondsindede annoncer er designet til at føre intetanende it-eksperter til kompromitterede websteder og phishing-sider, der imiterer legitime downloadportaler til udbredt software som AnyDesk, Cisco AnyConnect, TreeSize Free og WinSCP.

Når it-professionelle klikker på disse annoncer, downloader de uforvarende den tilsigtede software sammen med en skjult Python-pakke, der indeholder initial adgang til malware. Dette giver hackerne mulighed for senere at iværksætte mere alvorlige ransomware-angreb. Kampagnen er blevet identificeret af forskere fra Sophos, som har observeret dens tilstedeværelse i forskellige teknologivirksomheder og nonprofitorganisationer i hele Nordamerika. Selvom der endnu ikke er rapporteret om succesrige angreb, advarer forskerne om, at flere mærker er blevet valgt til lignende malvertising-indsatser i de seneste måneder.

Hackernes valg om at målrette IT-professionelle direkte er et strategisk træk, ifølge Christopher Budd, direktør for Sophos X-Ops. Ved at fokusere på dem, der administrerer en organisations mest følsomme systemer, øger angriberne deres effektivitet og effektivitet i at infiltrere virksomhedens netværk.

Når en it-professionel falder i fælden, kan de ende på en phishing-side, der overbevisende efterligner den autentiske downloadside for deres ønskede software. For eksempel et link som "winsccp[.]com" med et ekstra "c" subtilt indsat for at narre besøgende. I nogle tilfælde bruges kompromitterede WordPress-websteder, hvilket giver et udseende af legitimitet, mens de leverer den malware-ladede software.

Nitrogen kommer i trojaniseret ISO

Når du klikker på "download"-knappen, installeres et trojaniseret ISO-installationsprogram, som inkluderer en ondsindet DLL-fil (Dynamic Link Library). Selvom denne DLL indeholder den ønskede software, indeholder den også den oprindelige adgangs-malware. Efterfølgende etablerer hackerne en forbindelse til deres kommando- og kontrolinfrastruktur ved at installere en shell og et Cobalt Strike Beacon på den inficerede computer. Dette giver dem mulighed for at opretholde vedholdenhed og udføre fjernkommandoer.

På trods af risikoen ved at målrette mod teknisk dygtige it-professionelle, ser hackerne de potentielle belønninger som umagen værd. Da it-personale har tæt på følsomme systemer inden for et virksomhedsnetværk, mener angriberne, at deres indsats vil betale sig, selvom hitraten er relativt lav.

Mens angribernes specifikke hensigter forbliver uklare, har lignende kampagner tidligere ført til ransomware-angreb, såsom udrulning af BlackCat ransomware gennem den malvertising-aktiverede adgang. Det overordnede mål ser ud til at være at få kontrol over kritiske systemer og holde dem som gidsler for økonomisk vinding eller andre ondsindede formål.