Il malware dell'azoto si diffonde attraverso annunci dannosi

Gli hacker hanno escogitato un piano astuto denominato "Nitrogen" per intrappolare i professionisti IT utilizzando pubblicità false, note anche come "malvertisement", che appaiono sui motori di ricerca più diffusi. Questi annunci dannosi sono progettati per portare ignari esperti IT a siti Web compromessi e pagine di phishing che imitano portali di download legittimi per software ampiamente utilizzato come AnyDesk, Cisco AnyConnect, TreeSize Free e WinSCP.

Quando i professionisti IT fanno clic su questi annunci, scaricano inconsapevolmente il software previsto insieme a un pacchetto Python nascosto contenente malware di accesso iniziale. Ciò consente agli hacker di lanciare successivamente attacchi ransomware più gravi. La campagna è stata identificata dai ricercatori di Sophos, che ne hanno osservato la presenza in varie aziende tecnologiche e organizzazioni non profit in tutto il Nord America. Sebbene non siano stati ancora segnalati attacchi riusciti, i ricercatori avvertono che negli ultimi mesi più marchi sono stati cooptati per simili sforzi di malvertising.

La scelta degli hacker di prendere di mira direttamente i professionisti IT è una mossa strategica, secondo Christopher Budd, direttore di Sophos X-Ops. Concentrandosi su coloro che gestiscono i sistemi più sensibili di un'organizzazione, gli aggressori aumentano la loro efficienza ed efficacia nell'infiltrarsi nella rete aziendale.

Una volta che un professionista IT cade nella trappola, potrebbe finire su una pagina di phishing che imita in modo convincente la pagina di download autentica per il software desiderato. Ad esempio, un collegamento come "winsccp[.]com" con una "c" aggiuntiva inserita sottilmente per ingannare i visitatori. In alcuni casi, vengono utilizzati siti WordPress compromessi, che danno l'apparenza di legittimità mentre distribuiscono il software carico di malware.

L'azoto viene fornito in ISO trojanizzato

Facendo clic sul pulsante "download", viene distribuito un programma di installazione ISO trojanizzato, che include un file DLL (Dynamic Link Library) dannoso. Sebbene questa DLL contenga il software desiderato, contiene anche il malware di accesso iniziale. Successivamente, gli hacker stabiliscono una connessione alla loro infrastruttura di comando e controllo, installando una shell e un Cobalt Strike Beacon sul computer infetto. Ciò consente loro di mantenere la persistenza ed eseguire comandi remoti.

Nonostante i rischi di prendere di mira professionisti IT tecnicamente esperti, gli hacker considerano utili le potenziali ricompense. Poiché il personale IT è molto vicino ai sistemi sensibili all'interno di una rete aziendale, gli aggressori ritengono che i loro sforzi saranno ripagati, anche se il tasso di successo è relativamente basso.

Sebbene le intenzioni specifiche degli aggressori rimangano poco chiare, campagne simili in passato hanno portato ad attacchi ransomware, come l'implementazione del ransomware BlackCat attraverso l'accesso abilitato al malvertising. L'obiettivo generale sembra essere quello di ottenere il controllo dei sistemi critici e tenerli in ostaggio per guadagni finanziari o altri scopi dannosi.