Złośliwe oprogramowanie azotowe rozprzestrzenia się za pośrednictwem złośliwych reklam

Hakerzy opracowali przebiegły plan nazwany „Azotem”, aby złapać specjalistów IT za pomocą fałszywych reklam, znanych również jako „malvertisements”, które pojawiają się w popularnych wyszukiwarkach. Te złośliwe reklamy mają na celu naprowadzanie niczego niepodejrzewających ekspertów IT na zainfekowane witryny i strony phishingowe, które imitują legalne portale pobierania powszechnie używanego oprogramowania, takiego jak AnyDesk, Cisco AnyConnect, TreeSize Free i WinSCP.

Kiedy informatycy klikają te reklamy, nieświadomie pobierają zamierzone oprogramowanie wraz z ukrytym pakietem Pythona zawierającym malware dostępu wstępnego. Dzięki temu hakerzy mogą później przeprowadzać poważniejsze ataki ransomware. Kampania została zidentyfikowana przez badaczy Sophos, którzy zaobserwowali jej obecność w różnych firmach technologicznych i organizacjach non-profit w całej Ameryce Północnej. Chociaż nie zgłoszono jeszcze żadnych udanych ataków, badacze ostrzegają, że w ostatnich miesiącach wiele marek zostało dokooptowanych do podobnych działań związanych ze złośliwym oprogramowaniem.

Zdaniem Christophera Budda, dyrektora Sophos X-Ops, decyzja hakerów o bezpośrednim zaatakowaniu specjalistów IT jest posunięciem strategicznym. Koncentrując się na tych, którzy zarządzają najbardziej wrażliwymi systemami organizacji, atakujący zwiększają swoją efektywność i efektywność infiltracji sieci korporacyjnej.

Gdy informatyk wpadnie w pułapkę, może trafić na stronę phishingową, która w przekonujący sposób naśladuje autentyczną stronę pobierania żądanego oprogramowania. Na przykład link taki jak „winsccp[.]com” z dodatkowym „c” subtelnie wstawionym w celu oszukania odwiedzających. W niektórych przypadkach wykorzystywane są zainfekowane witryny WordPress, które sprawiają wrażenie legalnych, jednocześnie dostarczając oprogramowanie obciążone złośliwym oprogramowaniem.

Azot pojawia się w trojanizowanym ISO

Po kliknięciu przycisku „Pobierz" instalowany jest trojanizowany instalator ISO, który zawiera złośliwy plik biblioteki dołączanej dynamicznie (DLL). Chociaż ta biblioteka DLL zawiera pożądane oprogramowanie, zawiera również złośliwe oprogramowanie umożliwiające początkowy dostęp. Następnie hakerzy nawiązują połączenie ze swoją infrastrukturą dowodzenia i kontroli, umieszczając powłokę i Cobalt Strike Beacon na zainfekowanym komputerze. To pozwala im zachować trwałość i wykonywać zdalne polecenia.

Pomimo ryzyka związanego z atakowaniem doświadczonych technicznie specjalistów IT, hakerzy uważają, że potencjalne nagrody są warte zachodu. Ponieważ personel IT znajduje się w pobliżu wrażliwych systemów w sieci korporacyjnej, osoby atakujące wierzą, że ich wysiłki się opłacą, nawet jeśli wskaźnik trafień jest stosunkowo niski.

Chociaż konkretne intencje atakujących pozostają niejasne, podobne kampanie w przeszłości prowadziły do ataków ransomware, takich jak wdrażanie oprogramowania ransomware BlackCat za pośrednictwem dostępu umożliwiającego złośliwe reklamy. Ogólnym celem wydaje się być przejęcie kontroli nad krytycznymi systemami i przetrzymywanie ich jako zakładników w celu uzyskania korzyści finansowych lub innych złośliwych celów.