Nitrogen Malware se espalha por meio de anúncios maliciosos

Os hackers criaram um plano astuto apelidado de "nitrogênio" para prender os profissionais de TI usando anúncios falsos, também conhecidos como "malvertisements", que aparecem nos mecanismos de busca populares. Esses anúncios maliciosos são projetados para levar especialistas de TI desavisados a sites comprometidos e páginas de phishing que imitam portais de download legítimos para software amplamente usado como AnyDesk, Cisco AnyConnect, TreeSize Free e WinSCP.

Quando os profissionais de TI clicam nesses anúncios, eles inadvertidamente baixam o software pretendido junto com um pacote Python oculto contendo malware de acesso inicial. Isso permite que os hackers lancem posteriormente ataques de ransomware mais graves. A campanha foi identificada por pesquisadores da Sophos, que observaram sua presença em várias empresas de tecnologia e organizações sem fins lucrativos na América do Norte. Embora nenhum ataque bem-sucedido tenha sido relatado ainda, os pesquisadores alertam que várias marcas foram cooptadas para esforços semelhantes de malvertising nos últimos meses.

A escolha dos hackers de atacar diretamente os profissionais de TI é um movimento estratégico, de acordo com Christopher Budd, diretor da Sophos X-Ops. Ao se concentrar naqueles que gerenciam os sistemas mais confidenciais de uma organização, os invasores aumentam sua eficiência e eficácia na infiltração na rede corporativa.

Quando um profissional de TI cai na armadilha, ele pode acabar em uma página de phishing que imita de forma convincente a página de download autêntica do software desejado. Por exemplo, um link como "winsccp[.]com" com um "c" adicional inserido sutilmente para enganar os visitantes. Em alguns casos, sites comprometidos do WordPress são usados, dando a aparência de legitimidade ao entregar o software carregado de malware.

Nitrogênio vem em ISO Trojanized

Ao clicar no botão "download", um instalador ISO trojanizado é implantado, que inclui um arquivo de biblioteca de vínculo dinâmico (DLL) malicioso. Embora essa DLL contenha o software desejado, ela também contém o malware de acesso inicial. Posteriormente, os hackers estabelecem uma conexão com sua infraestrutura de comando e controle, implantando um shell e um Cobalt Strike Beacon no computador infectado. Isso permite que eles mantenham a persistência e executem comandos remotos.

Apesar dos riscos de visar profissionais de TI tecnicamente competentes, os hackers consideram que as recompensas potenciais valem a pena. Como o pessoal de TI está próximo de sistemas sensíveis dentro de uma rede corporativa, os invasores acreditam que seus esforços serão recompensados, mesmo que a taxa de acertos seja relativamente baixa.

Embora as intenções específicas dos invasores permaneçam incertas, campanhas semelhantes no passado levaram a ataques de ransomware, como a implantação do ransomware BlackCat por meio do acesso habilitado para malvertising. O objetivo geral parece ser obter o controle de sistemas críticos e mantê-los como reféns para ganhos financeiros ou outros propósitos maliciosos.