Les logiciels malveillants Nitrogen se propagent par le biais de publicités malveillantes

alerts pop-ups

Les pirates ont mis au point un plan astucieux baptisé "Nitrogen" pour piéger les professionnels de l'informatique à l'aide de fausses publicités, également appelées "malvertissements", qui apparaissent sur les moteurs de recherche populaires. Ces publicités malveillantes sont conçues pour diriger des experts informatiques sans méfiance vers des sites Web compromis et des pages de phishing qui imitent des portails de téléchargement légitimes pour des logiciels largement utilisés comme AnyDesk, Cisco AnyConnect, TreeSize Free et WinSCP.

Lorsque les professionnels de l'informatique cliquent sur ces publicités, ils téléchargent involontairement le logiciel prévu avec un package Python caché contenant un logiciel malveillant d'accès initial. Cela permet aux pirates de lancer ultérieurement des attaques de ransomware plus graves. La campagne a été identifiée par des chercheurs de Sophos, qui ont observé sa présence dans diverses entreprises technologiques et organisations à but non lucratif en Amérique du Nord. Bien qu'aucune attaque réussie n'ait encore été signalée, les chercheurs avertissent que plusieurs marques ont été cooptées pour des efforts de malvertising similaires au cours des derniers mois.

Selon Christopher Budd, directeur de Sophos X-Ops, le choix des pirates de cibler directement les professionnels de l'informatique est une décision stratégique. En se concentrant sur ceux qui gèrent les systèmes les plus sensibles d'une organisation, les attaquants augmentent leur efficacité et leur efficacité en infiltrant le réseau de l'entreprise.

Une fois qu'un professionnel de l'informatique tombe dans le piège, il peut se retrouver sur une page de phishing qui imite de manière convaincante la page de téléchargement authentique du logiciel souhaité. Par exemple, un lien comme "winsccp[.]com" avec un "c" supplémentaire subtilement inséré pour tromper les visiteurs. Dans certains cas, des sites WordPress compromis sont utilisés, donnant l'apparence d'une légitimité tout en fournissant le logiciel chargé de logiciels malveillants.

L'azote est livré en ISO cheval de Troie

En cliquant sur le bouton "télécharger", un programme d'installation ISO contenant un cheval de Troie est déployé, qui comprend un fichier de bibliothèque de liens dynamiques (DLL) malveillant. Bien que cette DLL contienne le logiciel souhaité, elle contient également le logiciel malveillant d'accès initial. Par la suite, les pirates établissent une connexion à leur infrastructure de commande et de contrôle, en déployant un shell et une balise Cobalt Strike sur l'ordinateur infecté. Cela leur permet de maintenir la persistance et d'exécuter des commandes à distance.

Malgré les risques de cibler des professionnels de l'informatique techniquement compétents, les pirates considèrent que les récompenses potentielles en valent la peine. Étant donné que le personnel informatique se trouve à proximité de systèmes sensibles au sein d'un réseau d'entreprise, les attaquants pensent que leurs efforts seront payants, même si le taux de réussite est relativement faible.

Bien que les intentions spécifiques des attaquants restent floues, des campagnes similaires dans le passé ont conduit à des attaques de ransomwares, telles que le déploiement du ransomware BlackCat via l'accès activé par la publicité malveillante. L'objectif global semble être de prendre le contrôle des systèmes critiques et de les garder en otage à des fins financières ou à d'autres fins malveillantes.

Par Zaib
July 27, 2023
Computer Security
Français
July 27, 2023
Computer Security

Articles Populaires

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 11 months

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 12 days

Prenez note : quelqu'un vous a ajouté comme arnaque par...

Il y a 10 months

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 7 months

Une menace potentiellement sérieuse : Trojan:Win32/Suschil!rfn

Il y a 19 days

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 11 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.