Nitrogen-Malware verbreitet sich durch bösartige Werbung

Hacker haben einen raffinierten Plan namens „Nitrogen“ ausgeheckt, um IT-Experten mit gefälschten Werbeanzeigen, auch „Malvertisements“ genannt, die in beliebten Suchmaschinen erscheinen, in die Falle zu locken. Diese bösartigen Anzeigen sollen ahnungslose IT-Experten zu kompromittierten Websites und Phishing-Seiten führen, die legitime Download-Portale für weit verbreitete Software wie AnyDesk, Cisco AnyConnect, TreeSize Free und WinSCP imitieren.

Wenn IT-Experten auf diese Anzeigen klicken, laden sie unabsichtlich die beabsichtigte Software zusammen mit einem versteckten Python-Paket herunter, das Initial-Access-Malware enthält. Dies ermöglicht es den Hackern, später schwerwiegendere Ransomware-Angriffe zu starten. Die Kampagne wurde von Forschern von Sophos identifiziert, die ihre Präsenz in verschiedenen Technologieunternehmen und gemeinnützigen Organisationen in ganz Nordamerika beobachtet haben. Obwohl noch keine erfolgreichen Angriffe gemeldet wurden, warnen die Forscher, dass in den letzten Monaten mehrere Marken für ähnliche Malvertising-Bemühungen kooptiert wurden.

Laut Christopher Budd, Direktor von Sophos X-Ops, ist die Entscheidung der Hacker, IT-Experten direkt ins Visier zu nehmen, ein strategischer Schachzug. Indem sie sich auf diejenigen konzentrieren, die die sensibelsten Systeme eines Unternehmens verwalten, steigern die Angreifer ihre Effizienz und Effektivität bei der Infiltration des Unternehmensnetzwerks.

Sobald ein IT-Experte in die Falle tappt, landet er möglicherweise auf einer Phishing-Seite, die die authentische Download-Seite für die gewünschte Software überzeugend nachahmt. Zum Beispiel ein Link wie „winsccp[.]com“ mit einem zusätzlichen „c“, der subtil eingefügt wird, um Besucher zu täuschen. In einigen Fällen werden kompromittierte WordPress-Seiten verwendet, die den Anschein von Legitimität erwecken und gleichzeitig die mit Schadsoftware beladene Software bereitstellen.

Stickstoff kommt in trojanisierter ISO

Beim Klicken auf die Schaltfläche „Herunterladen“ wird ein mit einem Trojaner infiziertes ISO-Installationsprogramm bereitgestellt, das eine schädliche DLL-Datei (Dynamic Link Library) enthält. Diese DLL enthält zwar die gewünschte Software, aber auch die Malware für den Erstzugriff. Anschließend stellen die Hacker eine Verbindung zu ihrer Kommando- und Kontrollinfrastruktur her und installieren eine Shell und einen Cobalt Strike Beacon auf dem infizierten Computer. Dadurch können sie die Persistenz aufrechterhalten und Remote-Befehle ausführen.

Trotz der Risiken, die es mit sich bringt, technisch versierte IT-Experten ins Visier zu nehmen, sehen die Hacker die potenziellen Vorteile als lohnenswert an. Da sich das IT-Personal innerhalb eines Unternehmensnetzwerks in unmittelbarer Nähe zu sensiblen Systemen befindet, gehen die Angreifer davon aus, dass sich ihre Bemühungen auszahlen werden, auch wenn die Trefferquote relativ gering ist.

Während die konkreten Absichten der Angreifer weiterhin unklar sind, haben ähnliche Kampagnen in der Vergangenheit zu Ransomware-Angriffen geführt, beispielsweise zum Einsatz der BlackCat-Ransomware über den durch Malvertising ermöglichten Zugriff. Das übergeordnete Ziel scheint darin zu bestehen, die Kontrolle über kritische Systeme zu erlangen und sie aus finanziellen Gründen oder für andere böswillige Zwecke als Geisel zu nehmen.