A nitrogén malware rosszindulatú hirdetéseken keresztül terjed

A hackerek egy "Nitrogén" névre keresztelt ravasz tervet dolgoztak ki, hogy csapdába csalják az informatikai szakembereket a népszerű keresőmotorokon megjelenő hamis hirdetések, más néven "rosszindulatú hirdetések" segítségével. Ezek a rosszindulatú hirdetések célja, hogy a gyanútlan informatikai szakértőket olyan feltört webhelyekre és adathalász oldalakra irányítsák, amelyek a széles körben használt szoftverek, például az AnyDesk, a Cisco AnyConnect, a TreeSize Free és a WinSCP legitim letöltési portáljait imitálják.

Amikor az informatikai szakemberek ezekre a hirdetésekre kattintanak, akaratlanul is letöltik a kívánt szoftvert egy rejtett Python-csomag mellé, amely kezdeti hozzáférési kártevőket tartalmaz. Ez lehetővé teszi a hackerek számára, hogy később komolyabb ransomware támadásokat indítsanak. A kampányt a Sophos kutatói azonosították, akik megfigyelték a kampány jelenlétét különböző technológiai vállalatoknál és nonprofit szervezeteknél Észak-Amerikában. Bár még nem számoltak be sikeres támadásokról, a kutatók arra figyelmeztetnek, hogy az elmúlt hónapokban több márkát is bevontak hasonló rosszindulatú reklámozási erőfeszítésekre.

Christopher Budd, a Sophos X-Ops igazgatója szerint stratégiai lépés, hogy a hackerek közvetlenül az IT-szakembereket célozzák meg. Azáltal, hogy azokra összpontosítanak, akik a szervezet legérzékenyebb rendszereit kezelik, a támadók növelik hatékonyságukat és hatékonyságukat a vállalati hálózatba való behatolásban.

Amint egy informatikus beleesik a csapdába, egy adathalász oldalra kerülhet, amely meggyőzően utánozza a kívánt szoftver hiteles letöltési oldalát. Például egy hivatkozás, mint a „winsccp[.]com”, egy további „c” karakterrel, amely finoman beilleszthető a látogatók megtévesztésére. Egyes esetekben feltört WordPress-webhelyeket használnak, amelyek legitimitás látszatát keltik a rosszindulatú szoftverekkel teli szoftver szállítása közben.

A nitrogén a trojanizált ISO-ban érkezik

A "letöltés" gombra kattintva egy trójai ISO telepítő kerül telepítésre, amely egy rosszindulatú dinamikus hivatkozási könyvtár (DLL) fájlt tartalmaz. Bár ez a DLL tartalmazza a kívánt szoftvert, a kezdeti hozzáférésű rosszindulatú programot is tartalmazza. Ezt követően a hackerek kapcsolatot létesítenek a parancsnoki és vezérlő infrastruktúrájukkal, és egy shellt és egy Cobalt Strike Beacont telepítenek a fertőzött számítógépre. Ez lehetővé teszi számukra a kitartás fenntartását és a távoli parancsok végrehajtását.

A technikailag ügyes informatikai szakemberek megcélzása kockázatai ellenére a hackerek érdemesnek tartják a lehetséges jutalmakat. Mivel az informatikusok közel vannak a vállalati hálózaton belüli érzékeny rendszerekhez, a támadók úgy vélik, hogy erőfeszítéseik kifizetődik, még akkor is, ha a találati arány viszonylag alacsony.

Míg a támadók konkrét szándékai továbbra is tisztázatlanok, a hasonló kampányok a múltban ransomware támadásokhoz vezettek, mint például a BlackCat zsarolóprogramok telepítése a rosszindulatú hirdetésekhez való hozzáférésen keresztül. Úgy tűnik, hogy az általános cél a kritikus rendszerek feletti irányítás megszerzése és túszként tartása pénzügyi haszonszerzés vagy más rosszindulatú célok érdekében.