Programari maliciós de nitrogen
Els investigadors han descobert una campanya de programari maliciós d'accés inicial que estan rastrejant com a "Nitrogen". Els ciberdelinqüents han estat utilitzant anuncis de cerca de Google i Bing per promocionar llocs web de programari falsificat com una forma d'infectar víctimes desprevenides. Els usuaris que visiten aquests llocs sense saber-ho són víctimes del desplegament de l'amenaça Cobalt Strike i càrregues útils de ransomware.
L'objectiu principal del programari maliciós Nitrogen és oferir als actors de les amenaces un punt d'entrada inicial a les xarxes corporatives. Un cop infiltrats, els actors maliciosos aconsegueixen la capacitat de robar dades, participar en el ciberespionatge i, finalment, alliberar el destructiu BlackCat/ALPHV Ransomware .
Una anàlisi en profunditat de la campanya de Nitrogen ha revelat els seus objectius principals, que inclouen principalment organitzacions tecnològiques i sense ànim de lucre situades a Amèrica del Nord. Els atacants executen el seu esquema suplantant la identitat de proveïdors de programari de renom com AnyDesk, Cisco AnyConnect VPN, TreeSize Free i WinSCP. Aquesta tàctica enganyosa fa que els usuaris creguin que estan accedint a programari genuí, només per estar exposats als perills del programari maliciós Nitrogen.
L'ús d'anuncis de cerca de Google i Bing en aquesta campanya afegeix una capa addicional de sofisticació, que permet als actors de l'amenaça arribar a un grup més ampli de víctimes potencials. Aprofitant aquests populars motors de cerca, els atacants augmenten la probabilitat d'induir els usuaris perquè facin clic als enllaços del programari fraudulent, iniciant així el procés d'infecció maliciós.
El programari maliciós de nitrogen s'adreça a víctimes d'ubicacions geogràfiques específiques
La campanya Nitrogen Malware comença quan els usuaris realitzen una cerca a Google o Bing de diverses aplicacions de programari conegudes. Entre el programari utilitzat com a esquer en aquesta campanya es troben AnyDesk (una aplicació d'escriptori remot), WinSCP (un client SFTP/FTP per a Windows), Cisco AnyConnect (una suite VPN) i TreeSize Free (una calculadora i gestor d'espai en disc). La selecció dels esquers de programari es basa en els criteris d'orientació dels atacants.
Quan un usuari cerca qualsevol d'aquestes aplicacions de programari, el motor de cerca corresponent mostra un anunci que sembla promocionar el producte de programari exacte. Sense voler-ho, els usuaris poden fer clic en aquests anuncis aparentment legítims, amb l'esperança de descarregar el programari desitjat.
Tanmateix, en lloc d'arribar al lloc web genuí, l'enllaç redirigeix els visitants a pàgines d'allotjament de WordPress compromeses. Aquestes pàgines estan dissenyades amb habilitat per imitar l'aspecte dels llocs de descàrrega oficials de l'aplicació específica en qüestió.
Tanmateix, no tothom és portat a llocs web insegurs. Només els visitants de regions geogràfiques específiques són redirigits selectivament als llocs de pesca, assegurant una major possibilitat d'atreure víctimes potencials de les zones escollides. Si algú intenta arribar a les pàgines obrint directament el seu enllaç en lloc de ser portat allà a través d'un anunci, es redirigiria a un vídeo de YouTube del clàssic "Never Gonna Give You Up" de Rick Astley, un moviment conegut com a rick-rolling.
El programari maliciós de nitrogen es va utilitzar probablement per lliurar ransomware a dispositius compromesos
El programari amenaçador lliurat des dels llocs falsos es presenta en forma d'instal·ladors ISO troianitzats anomenats "install.exe" que porten i després carreguen lateralment un fitxer DLL danyat "msi.dll" (NitrogenInstaller). Actua com a instal·lador de Nitrogen Malware. A més, també configura l'aplicació promesa per evitar aixecar sospita a les víctimes. El programari maliciós estableix un mecanisme de persistència mitjançant la creació d'una clau d'execució del registre "Python" que s'executa a un interval de cinc minuts i apunta cap a un binari maliciós anomenat "pythonw.exe".
El component Python del programari maliciós, anomenat 'python.311.dll' (NitrogenStager), s'encarrega d'establir la comunicació amb el servidor d'ordres i control (C2) dels pirates informàtics. També inicia un shell Meterpreter i Cobalt Strike Beacons a l'ordinador de la víctima.
En determinats casos, els atacants realitzen accions pràctiques un cop s'executa l'script Meterpreter als sistemes de destinació. Utilitzen ordres manuals per recuperar fitxers ZIP addicionals i entorns Python 3, que són necessaris per executar Cobalt Strike a la memòria, ja que el propi NitrogenStager no pot executar scripts de Python. La cadena d'infecció del programari maliciós Nitrogen apunta a posar en escena els dispositius compromesos per al desplegament de les càrregues útils finals del ransomware.
