El malware de nitrógeno se propaga a través de anuncios maliciosos

Los piratas informáticos han ideado un plan astuto denominado "Nitrógeno" para atrapar a los profesionales de TI mediante anuncios falsos, también conocidos como "malvertisements", que aparecen en los motores de búsqueda populares. Estos anuncios maliciosos están diseñados para llevar a expertos de TI desprevenidos a sitios web comprometidos y páginas de phishing que imitan portales de descarga legítimos para software ampliamente utilizado como AnyDesk, Cisco AnyConnect, TreeSize Free y WinSCP.

Cuando los profesionales de TI hacen clic en estos anuncios, sin saberlo, descargan el software deseado junto con un paquete oculto de Python que contiene malware de acceso inicial. Esto permite a los piratas informáticos lanzar más tarde ataques de ransomware más graves. La campaña ha sido identificada por investigadores de Sophos, quienes han observado su presencia en varias empresas de tecnología y organizaciones sin fines de lucro en América del Norte. Aunque todavía no se han informado ataques exitosos, los investigadores advierten que varias marcas han sido cooptadas para esfuerzos similares de publicidad maliciosa en los últimos meses.

La elección de los piratas informáticos de dirigirse directamente a los profesionales de TI es un movimiento estratégico, según Christopher Budd, director de Sophos X-Ops. Al centrarse en aquellos que administran los sistemas más sensibles de una organización, los atacantes aumentan su eficiencia y eficacia para infiltrarse en la red corporativa.

Una vez que un profesional de TI cae en la trampa, puede terminar en una página de phishing que imita de manera convincente la página de descarga auténtica del software deseado. Por ejemplo, un enlace como "winsccp[.]com" con una "c" adicional sutilmente insertada para engañar a los visitantes. En algunos casos, se utilizan sitios de WordPress comprometidos, lo que da la apariencia de legitimidad al entregar el software cargado de malware.

El nitrógeno viene en ISO troyano

Al hacer clic en el botón "descargar", se implementa un instalador ISO troyano, que incluye un archivo de biblioteca de vínculos dinámicos (DLL) malicioso. Si bien esta DLL contiene el software deseado, también contiene el malware de acceso inicial. Posteriormente, los piratas informáticos establecen una conexión con su infraestructura de comando y control, desplegando un shell y un Cobalt Strike Beacon en la computadora infectada. Esto les permite mantener la persistencia y ejecutar comandos remotos.

A pesar de los riesgos de apuntar a profesionales de TI técnicamente expertos, los piratas informáticos consideran que las recompensas potenciales valen la pena. Dado que el personal de TI está muy cerca de los sistemas confidenciales dentro de una red corporativa, los atacantes creen que sus esfuerzos valdrán la pena, incluso si la tasa de aciertos es relativamente baja.

Si bien las intenciones específicas de los atacantes siguen sin estar claras, campañas similares en el pasado han dado lugar a ataques de ransomware, como la implementación de BlackCat ransomware a través del acceso habilitado para publicidad maliciosa. El objetivo general parece ser obtener el control de los sistemas críticos y mantenerlos como rehenes para obtener ganancias financieras u otros fines maliciosos.