Dusíkatý malware

Výzkumníci odhalili počáteční kampaň proti malwaru, kterou sledují jako „dusík“. Kyberzločinci využívají reklamy ve vyhledávání Google a Bing k propagaci webových stránek s padělaným softwarem jako způsob, jak infikovat nic netušící oběti. Uživatelé, kteří navštíví tyto stránky, se nevědomky stanou obětí nasazení hrozivého Cobalt Strike a ransomwaru.

Hlavním cílem malwaru Nitrogen je poskytnout aktérům hrozeb počáteční vstupní bod do podnikových sítí. Po infiltraci získají zákeřní aktéři schopnost provádět krádeže dat, zapojit se do kybernetické špionáže a nakonec rozpoutat destruktivní BlackCat/ALPHV Ransomware .

Hloubková analýza kampaně Dusík odhalila její primární cíle, které převážně zahrnují technologie a neziskové organizace sídlící v Severní Americe. Útočníci provedli své schéma tím, že se vydávali za renomované poskytovatele softwaru, jako je AnyDesk, Cisco AnyConnect VPN, TreeSize Free a WinSCP. Tato klamavá taktika klame uživatele, aby věřili, že přistupují ke skutečnému softwaru, ale místo toho jsou vystaveni nebezpečím dusíkatého malwaru.

Použití reklam ve vyhledávání Google a Bing v této kampani přidává další vrstvu propracovanosti a umožňuje aktérům hrozeb oslovit širší okruh potenciálních obětí. Využitím těchto oblíbených vyhledávačů útočníci zvyšují pravděpodobnost, že nalákají uživatele, aby klikli na podvodné softwarové odkazy, a zahájili tak proces škodlivé infekce.

Dusíkový malware se zaměřuje na oběti z konkrétních geografických oblastí

Kampaň Nitrogen Malware začíná, když uživatelé vyhledávají na Googlu nebo Bingu různé známé softwarové aplikace. Mezi software použitý jako návnada v této kampani patří AnyDesk (aplikace pro vzdálenou plochu), WinSCP (klient SFTP/FTP pro Windows), Cisco AnyConnect (sada VPN) a TreeSize Free (kalkulátor a správce místa na disku). Výběr softwarových návnad je založen na kritériích cílení útočníků.

Když uživatel vyhledává kteroukoli z těchto softwarových aplikací, příslušný vyhledávač zobrazí reklamu, která vypadá, že propaguje přesný softwarový produkt. Uživatelé mohou nevědomky kliknout na tyto zdánlivě legitimní reklamy v naději, že si stáhnou požadovaný software.

Místo toho, aby se dostal na originální web, odkaz přesměruje návštěvníky na kompromitované hostingové stránky WordPress. Tyto stránky jsou dovedně navrženy tak, aby napodobovaly vzhled oficiálních stránek ke stažení pro konkrétní aplikaci.

Ne každý se však dostane na nebezpečné webové stránky. Na phishingové stránky jsou selektivně přesměrováni pouze návštěvníci z konkrétních geografických oblastí, což zajišťuje vyšší šanci na vylákání potenciálních obětí z vybraných oblastí. Pokud se někdo pokusí dostat na stránky přímým otevřením svého odkazu namísto toho, aby na ně byl přesměrován prostřednictvím reklamy, byl by přesměrován na YouTube video s klasikou Ricka Astleyho „Never Gonna Give You Up“ – pohyb známý jako rick-rolling.

Dusíkový malware byl pravděpodobně použit k doručení ransomwaru do kompromitovaných zařízení

Hrozivý software dodávaný z falešných stránek přichází ve formě trojanizovaných instalačních programů ISO s názvem 'install.exe', které přenášejí a poté načítají poškozený soubor DLL 'msi.dll' (NitrogenInstaller). Funguje jako instalační program pro dusíkatý malware. Kromě toho také nastavuje slíbenou aplikaci, aby se zabránilo vznesení jakéhokoli podezření ze strany obětí. Malware vytváří mechanismus perzistence vytvořením klíče pro spuštění registru „Python“, který se spouští v pětiminutových intervalech a ukazuje na škodlivý binární soubor s názvem „pythonw.exe“.

Komponenta Python malwaru, nazvaná 'python.311.dll' (NitrogenStager), se stará o navázání komunikace se serverem Command-and-Control (C2) hackerů. Také iniciuje střelu Meterpreter a Cobalt Strike Beacons na počítači oběti.

V určitých případech se útočníci zapojí do praktických akcí, jakmile je skript Meterpreter spuštěn na cílových systémech. Používají ruční příkazy k načtení dalších souborů ZIP a prostředí Python 3, která jsou nezbytná pro spuštění Cobalt Strike v paměti, protože samotný NitrogenStager nemůže spouštět skripty Pythonu. Infekční řetězec dusíkatého malwaru ukazuje na zinscenování kompromitovaných zařízení pro nasazení konečného ransomwaru.