Stikstof-malware verspreidt zich via schadelijke advertenties

Hackers hebben een sluw plan bedacht met de naam "Nitrogen" om IT-professionals in de val te lokken met behulp van nepadvertenties, ook wel bekend als "malvertisements", die verschijnen op populaire zoekmachines. Deze kwaadaardige advertenties zijn ontworpen om nietsvermoedende IT-experts naar gecompromitteerde websites en phishing-pagina's te leiden die legitieme downloadportals imiteren voor veelgebruikte software zoals AnyDesk, Cisco AnyConnect, TreeSize Free en WinSCP.

Wanneer IT-professionals op deze advertenties klikken, downloaden ze onbewust de bedoelde software samen met een verborgen Python-pakket dat malware voor eerste toegang bevat. Hierdoor kunnen de hackers later zwaardere ransomware-aanvallen uitvoeren. De campagne is geïdentificeerd door onderzoekers van Sophos, die de aanwezigheid ervan hebben waargenomen in verschillende technologiebedrijven en non-profitorganisaties in Noord-Amerika. Hoewel er nog geen succesvolle aanvallen zijn gemeld, waarschuwen de onderzoekers dat er de afgelopen maanden meerdere merken zijn gecoöpteerd voor soortgelijke malvertising-inspanningen.

Volgens Christopher Budd, directeur van Sophos X-Ops, is de keuze van de hackers om zich rechtstreeks op IT-professionals te richten een strategische zet. Door zich te concentreren op degenen die de meest gevoelige systemen van een organisatie beheren, vergroten de aanvallers hun efficiëntie en effectiviteit bij het infiltreren van het bedrijfsnetwerk.

Zodra een IT-professional in de val loopt, kunnen ze op een phishing-pagina terechtkomen die op overtuigende wijze de authentieke downloadpagina voor hun gewenste software nabootst. Bijvoorbeeld een link zoals "winsccp[.]com" met een extra "c" subtiel ingevoegd om bezoekers te misleiden. In sommige gevallen worden gecompromitteerde WordPress-sites gebruikt, waardoor de schijn van legitimiteit wordt gewekt terwijl de met malware beladen software wordt geleverd.

Stikstof wordt geleverd in een getrojaniseerde ISO

Door op de knop "downloaden" te klikken, wordt een getrojaniseerd ISO-installatieprogramma geïmplementeerd, dat een kwaadaardig DLL-bestand (Dynamic Link Library) bevat. Hoewel deze DLL de gewenste software bevat, bevat deze ook de initiële toegangsmalware. Vervolgens maken de hackers een verbinding met hun commando- en controle-infrastructuur, waarbij ze een shell en een Cobalt Strike Beacon op de geïnfecteerde computer inzetten. Hierdoor kunnen ze persistentie behouden en opdrachten op afstand uitvoeren.

Ondanks de risico's van het aanvallen van technisch bedreven IT-professionals, zien de hackers de potentiële beloningen als de moeite waard. Aangezien IT-personeel dicht bij gevoelige systemen binnen een bedrijfsnetwerk staat, denken de aanvallers dat hun inspanningen vruchten zullen afwerpen, zelfs als het aantal treffers relatief laag is.

Hoewel de specifieke bedoelingen van de aanvallers onduidelijk blijven, hebben gelijkaardige campagnes in het verleden geleid tot ransomware-aanvallen, zoals de inzet van BlackCat-ransomware via malvertising-toegang. Het algemene doel lijkt controle te krijgen over kritieke systemen en ze te gijzelen voor financieel gewin of andere kwaadaardige doeleinden.