Το κακόβουλο λογισμικό αζώτου εξαπλώνεται μέσω κακόβουλων διαφημίσεων

Οι χάκερ έχουν επινοήσει ένα πονηρό σχέδιο με το όνομα «Άζωτο» για να παγιδεύσουν επαγγελματίες πληροφορικής χρησιμοποιώντας ψεύτικες διαφημίσεις, γνωστές και ως «κακοπροβολή», που εμφανίζονται σε δημοφιλείς μηχανές αναζήτησης. Αυτές οι κακόβουλες διαφημίσεις έχουν σχεδιαστεί για να οδηγούν ανυποψίαστους ειδικούς πληροφορικής σε παραβιασμένους ιστότοπους και σελίδες ηλεκτρονικού "ψαρέματος" που μιμούνται νόμιμες πύλες λήψης για λογισμικό ευρέως χρησιμοποιούμενου όπως το AnyDesk, το Cisco AnyConnect, το TreeSize Free και το WinSCP.

Όταν οι επαγγελματίες πληροφορικής κάνουν κλικ σε αυτές τις διαφημίσεις, κατεβάζουν άθελά τους το λογισμικό που προορίζεται μαζί με ένα κρυφό πακέτο Python που περιέχει κακόβουλο λογισμικό αρχικής πρόσβασης. Αυτό επιτρέπει στους χάκερ να εξαπολύσουν αργότερα πιο σοβαρές επιθέσεις ransomware. Η καμπάνια έχει εντοπιστεί από ερευνητές από τη Sophos, οι οποίοι παρατήρησαν την παρουσία της σε διάφορες εταιρείες τεχνολογίας και μη κερδοσκοπικούς οργανισμούς σε ολόκληρη τη Βόρεια Αμερική. Αν και δεν έχουν αναφερθεί ακόμη επιτυχημένες επιθέσεις, οι ερευνητές προειδοποιούν ότι πολλές μάρκες έχουν επιλεγεί για παρόμοιες προσπάθειες κακόβουλης διαφήμισης τους τελευταίους μήνες.

Η επιλογή των χάκερ να στοχεύουν άμεσα επαγγελματίες πληροφορικής είναι μια στρατηγική κίνηση, σύμφωνα με τον Christopher Budd, διευθυντή της Sophos X-Ops. Εστιάζοντας σε αυτούς που διαχειρίζονται τα πιο ευαίσθητα συστήματα ενός οργανισμού, οι εισβολείς αυξάνουν την αποτελεσματικότητά τους και την αποτελεσματικότητά τους διείσδυσης στο εταιρικό δίκτυο.

Μόλις ένας επαγγελματίας πληροφορικής πέσει στην παγίδα, μπορεί να καταλήξει σε μια σελίδα phishing που μιμείται πειστικά την αυθεντική σελίδα λήψης για το λογισμικό που επιθυμεί. Για παράδειγμα, ένας σύνδεσμος όπως "winsccp[.]com" με ένα πρόσθετο "c" που εισάγεται διακριτικά για να εξαπατήσει τους επισκέπτες. Σε ορισμένες περιπτώσεις, χρησιμοποιούνται παραβιασμένοι ιστότοποι WordPress, δίνοντας την όψη νομιμότητας ενώ παρέχουν το λογισμικό με κακόβουλο λογισμικό.

Το άζωτο έρχεται σε Trojanized ISO

Κάνοντας κλικ στο κουμπί "λήψη", αναπτύσσεται ένα πρόγραμμα εγκατάστασης ISO με trojanized, το οποίο περιλαμβάνει ένα αρχείο κακόβουλης βιβλιοθήκης δυναμικής σύνδεσης (DLL). Ενώ αυτό το DLL περιέχει το επιθυμητό λογισμικό, περιέχει επίσης το κακόβουλο λογισμικό αρχικής πρόσβασης. Στη συνέχεια, οι χάκερ δημιουργούν μια σύνδεση με την υποδομή διοίκησης και ελέγχου, αναπτύσσοντας ένα κέλυφος και ένα Cobalt Strike Beacon στον μολυσμένο υπολογιστή. Αυτό τους επιτρέπει να διατηρούν την επιμονή και να εκτελούν απομακρυσμένες εντολές.

Παρά τους κινδύνους της στόχευσης τεχνικά έμπειρων επαγγελματιών πληροφορικής, οι χάκερ βλέπουν τις πιθανές ανταμοιβές ως χρήσιμες. Δεδομένου ότι το προσωπικό πληροφορικής βρίσκεται κοντά σε ευαίσθητα συστήματα σε ένα εταιρικό δίκτυο, οι εισβολείς πιστεύουν ότι οι προσπάθειές τους θα αποδώσουν, ακόμα κι αν το ποσοστό επιτυχίας είναι σχετικά χαμηλό.

Ενώ οι συγκεκριμένες προθέσεις των εισβολέων παραμένουν ασαφείς, παρόμοιες καμπάνιες στο παρελθόν οδήγησαν σε επιθέσεις ransomware, όπως η ανάπτυξη του BlackCat ransomware μέσω της πρόσβασης με δυνατότητα κακόβουλης διαφήμισης. Ο γενικός στόχος φαίνεται να είναι η απόκτηση του ελέγχου των κρίσιμων συστημάτων και η κράτηση τους ως όμηροι για οικονομικό όφελος ή άλλους κακόβουλους σκοπούς.