Вредоносное ПО Nitrogen распространяется через вредоносную рекламу

Хакеры разработали хитрый план, получивший название «Азот», чтобы заманить в ловушку ИТ-специалистов с помощью поддельной рекламы, также известной как «вредоносная реклама», которая появляется в популярных поисковых системах. Эти вредоносные объявления предназначены для того, чтобы направить ничего не подозревающих ИТ-специалистов на скомпрометированные веб-сайты и фишинговые страницы, которые имитируют законные порталы для загрузки широко используемого программного обеспечения, такого как AnyDesk, Cisco AnyConnect, TreeSize Free и WinSCP.

Когда ИТ-специалисты нажимают на эти объявления, они невольно загружают предполагаемое программное обеспечение вместе со скрытым пакетом Python, содержащим вредоносное ПО для начального доступа. Это позволяет хакерам позже запускать более серьезные атаки программ-вымогателей. Кампания была обнаружена исследователями из Sophos, которые наблюдали ее присутствие в различных технологических компаниях и некоммерческих организациях по всей Северной Америке. Хотя сообщений об успешных атаках пока не поступало, исследователи предупреждают, что в последние месяцы несколько брендов были привлечены к аналогичным действиям по вредоносной рекламе.

По словам Кристофера Бадда, директора Sophos X-Ops, решение хакеров атаковать непосредственно ИТ-специалистов является стратегическим шагом. Сосредоточив внимание на тех, кто управляет наиболее чувствительными системами организации, злоумышленники повышают свою эффективность и результативность проникновения в корпоративную сеть.

Как только ИТ-специалист попадает в ловушку, он может оказаться на фишинговой странице, которая убедительно имитирует подлинную страницу загрузки нужного ему программного обеспечения. Например, ссылка типа «winsccp[.]com» с тонко вставленной дополнительной буквой «с», чтобы ввести посетителей в заблуждение. В некоторых случаях используются скомпрометированные сайты WordPress, что создает видимость легитимности при доставке программного обеспечения, зараженного вредоносным ПО.

Азот поставляется в троянизированном ISO

При нажатии кнопки «скачать» развертывается троянизированный установщик ISO, который включает вредоносный файл библиотеки динамической компоновки (DLL). Хотя эта DLL содержит желаемое программное обеспечение, она также содержит вредоносное ПО для начального доступа. Впоследствии хакеры устанавливают соединение со своей инфраструктурой управления и контроля, развертывая оболочку и маяк Cobalt Strike на зараженном компьютере. Это позволяет им сохранять постоянство и выполнять удаленные команды.

Несмотря на риски нападения на технически подкованных ИТ-специалистов, хакеры считают потенциальные выгоды достойными внимания. Поскольку ИТ-персонал находится в непосредственной близости от важных систем в корпоративной сети, злоумышленники считают, что их усилия окупятся, даже если количество попаданий относительно невелико.

Хотя конкретные намерения злоумышленников остаются неясными, аналогичные кампании в прошлом приводили к атакам программ-вымогателей, таких как развертывание программы-вымогателя BlackCat через доступ с поддержкой вредоносной рекламы. Общая цель, по-видимому, состоит в том, чтобы получить контроль над критически важными системами и удерживать их в заложниках для получения финансовой выгоды или других злонамеренных целей.