Nitrogenskadelig programvare sprer seg gjennom ondsinnede annonser

Hackere har utviklet en utspekulert plan kalt "Nitrogen" for å fange IT-fagfolk ved å bruke falske annonser, også kjent som "malvertisements", som vises på populære søkemotorer. Disse ondsinnede annonsene er utviklet for å lede intetanende IT-eksperter til kompromitterte nettsteder og phishing-sider som imiterer legitime nedlastingsportaler for mye brukt programvare som AnyDesk, Cisco AnyConnect, TreeSize Free og WinSCP.

Når IT-fagfolk klikker på disse annonsene, laster de uforvarende ned den tiltenkte programvaren sammen med en skjult Python-pakke som inneholder skadelig programvare for første gang. Dette gjør at hackerne senere kan starte mer alvorlige ransomware-angrep. Kampanjen er identifisert av forskere fra Sophos, som har observert dens tilstedeværelse i ulike teknologiselskaper og ideelle organisasjoner over hele Nord-Amerika. Selv om det ikke er rapportert om noen vellykkede angrep ennå, advarer forskerne om at flere merker har blitt valgt til lignende malvertising-innsats de siste månedene.

Hackernes valg om å målrette IT-fagfolk direkte er et strategisk grep, ifølge Christopher Budd, direktør for Sophos X-Ops. Ved å fokusere på de som administrerer en organisasjons mest sensitive systemer, øker angriperne sin effektivitet og effektivitet i å infiltrere bedriftens nettverk.

Når en IT-proff går i fellen, kan de ende opp på en phishing-side som overbevisende etterligner den autentiske nedlastingssiden for ønsket programvare. For eksempel, en lenke som "winsccp[.]com" med en ekstra "c" subtilt satt inn for å lure besøkende. I noen tilfeller brukes kompromitterte WordPress-nettsteder, som gir inntrykk av legitimitet mens de leverer programvaren med skadelig programvare.

Nitrogen kommer i trojanisert ISO

Når du klikker på "last ned"-knappen, distribueres et trojanisert ISO-installasjonsprogram, som inkluderer en ondsinnet DLL-fil (dynamic link library). Selv om denne DLL-filen inneholder den ønskede programvaren, inneholder den også den første skadelige programvaren. Deretter oppretter hackerne en forbindelse til kommando- og kontrollinfrastrukturen deres, og distribuerer et skall og et Cobalt Strike Beacon på den infiserte datamaskinen. Dette lar dem opprettholde utholdenhet og utføre eksterne kommandoer.

Til tross for risikoen ved å målrette teknisk dyktige IT-fagfolk, ser hackerne på de potensielle belønningene som verdt det. Siden IT-personell har nærhet til sensitive systemer i et bedriftsnettverk, tror angriperne deres innsats vil lønne seg, selv om treffraten er relativt lav.

Selv om angripernes spesifikke intensjoner forblir uklare, har lignende kampanjer tidligere ført til løsepengeangrep, for eksempel utplassering av BlackCat løsepengeprogram gjennom skadelig markedsføringsaktivert tilgang. Det overordnede målet ser ut til å være å få kontroll over kritiske systemer og holde dem som gisler for økonomisk vinning eller andre ondsinnede formål.