Nitrogen Malware sprids genom skadliga annonser

Hackare har utarbetat en listig plan kallad "Kväve" för att fånga IT-proffs som använder falska annonser, även känd som "malvertisements", som visas på populära sökmotorer. Dessa skadliga annonser är utformade för att leda intet ont anande IT-experter till komprometterade webbplatser och nätfiskesidor som imiterar legitima nedladdningsportaler för mycket använd programvara som AnyDesk, Cisco AnyConnect, TreeSize Free och WinSCP.

När IT-proffs klickar på dessa annonser laddar de omedvetet ned den avsedda programvaran tillsammans med ett dolt Python-paket som innehåller skadlig programvara för första gången. Detta gör det möjligt för hackare att senare lansera allvarligare ransomware-attacker. Kampanjen har identifierats av forskare från Sophos, som har observerat dess närvaro i olika teknikföretag och ideella organisationer över hela Nordamerika. Även om inga framgångsrika attacker har rapporterats ännu, varnar forskarna för att flera varumärken har adjungerats för liknande malvertising-insatser de senaste månaderna.

Hackarnas val att rikta in sig på IT-proffs direkt är ett strategiskt drag, enligt Christopher Budd, chef för Sophos X-Ops. Genom att fokusera på dem som hanterar en organisations mest känsliga system ökar angriparna sin effektivitet och effektivitet när det gäller att infiltrera företagsnätverket.

När en IT-proffs faller i fällan kan de hamna på en nätfiskesida som på ett övertygande sätt efterliknar den autentiska nedladdningssidan för den önskade programvaran. Till exempel, en länk som "winsccp[.]com" med ytterligare ett "c" subtilt infogat för att lura besökare. I vissa fall används komprometterade WordPress-webbplatser, vilket ger sken av legitimitet samtidigt som den levererar den skadliga programvaran.

Kväve kommer i trojaniserad ISO

När du klickar på "ladda ner"-knappen distribueras ett trojaniserat ISO-installationsprogram, vilket inkluderar en skadlig DLL-fil (Dynamic Link Library). Även om den här DLL-filen innehåller den önskade programvaran, innehåller den också den initiala skadliga programvaran. Därefter upprättar hackarna en anslutning till sin kommando- och kontrollinfrastruktur och distribuerar ett skal och en Cobalt Strike Beacon på den infekterade datorn. Detta gör att de kan bibehålla uthållighet och utföra fjärrkommandon.

Trots riskerna med att rikta in sig på tekniskt skickliga IT-proffs ser hackarna de potentiella belöningarna som värdefulla. Eftersom IT-personal har närhet till känsliga system inom ett företagsnätverk tror angriparna att deras ansträngningar kommer att löna sig, även om träfffrekvensen är relativt låg.

Även om angriparnas specifika avsikter förblir oklara, har liknande kampanjer tidigare lett till ransomware-attacker, såsom utplaceringen av BlackCat ransomware genom malvertising-aktiverad åtkomst. Det övergripande målet verkar vara att få kontroll över kritiska system och hålla dem som gisslan för ekonomisk vinning eller andra skadliga syften.