תוכנה זדונית חנקן

חוקרים חשפו מסע פרסום ראשוני של תוכנות זדוניות בגישה אליו הם עוקבים בתור 'חנקן'. פושעי סייבר השתמשו במודעות החיפוש של גוגל ובינג כדי לקדם אתרי תוכנה מזויפת כדרך להדביק קורבנות תמימים. משתמשים המבקרים באתרים אלה נופלים ללא ידיעתו קורבן לפריסת המטענים המאיימים Cobalt Strike ותוכנות כופר.

מטרת הליבה מאחורי התוכנה הזדונית של חנקן היא להעניק לשחקני איום נקודת כניסה ראשונית לרשתות ארגוניות. לאחר חדירתם, השחקנים הזדוניים מקבלים את היכולת לבצע גניבת מידע, לעסוק בריגול סייבר, ובסופו של דבר לשחרר את BlackCat/ALPHV Ransomware ההרסנית.

ניתוח מעמיק של קמפיין החנקן חשף את היעדים העיקריים שלו, הכוללים בעיקר טכנולוגיה וארגונים ללא מטרות רווח הממוקמים בצפון אמריקה. התוקפים מבצעים את התוכנית שלהם על ידי התחזות לספקיות תוכנה מוכרות כמו AnyDesk, Cisco AnyConnect VPN, TreeSize Free ו-WinSCP. טקטיקה מטעה זו משכנעת משתמשים להאמין שהם ניגשים לתוכנה מקורית, רק כדי להיחשף לסכנות של תוכנת זדונית חנקן.

השימוש במודעות החיפוש של גוגל ו-Bing בקמפיין זה מוסיף שכבה נוספת של תחכום, ומאפשר לשחקני האיום להגיע למאגר רחב יותר של קורבנות פוטנציאליים. על ידי מינוף מנועי החיפוש הפופולריים הללו, התוקפים מגדילים את הסבירות לפתות משתמשים ללחוץ על קישורי התוכנה המזויפים, ובכך להתחיל את תהליך ההדבקה הזדונית.

תוכנת זדונית חנקן מכוונת לקורבנות ממקומות גיאוגרפיים ספציפיים

מסע הפרסום של Nitrogen Malware מתחיל כאשר משתמשים עורכים חיפוש בגוגל או בינג אחר יישומי תוכנה ידועים שונים. בין התוכנות המשמשות כפיתיון בקמפיין זה ניתן למנות את AnyDesk (יישום שולחן עבודה מרוחק), WinSCP (לקוח SFTP/FTP עבור Windows), Cisco AnyConnect (חבילת VPN) ו-TreeSize Free (מחשבון ומנהל שטח דיסק). בחירת פתיונות התוכנה מבוססת על קריטריוני המיקוד של התוקפים.

כאשר משתמש מחפש כל אחד מיישומי התוכנה הללו, מנוע החיפוש המתאים מציג פרסומת שנראית כמקדם את מוצר התוכנה המדויק. מבלי משים, משתמשים עשויים ללחוץ על המודעות הלגיטימיות לכאורה הללו, בתקווה להוריד את התוכנה הרצויה.

עם זאת, במקום להגיע לאתר האמיתי, הקישור מפנה מבקרים לדפי אירוח וורדפרס שנפגעו. דפים אלה מתוכננים במיומנות כדי לחקות את המראה של אתרי ההורדות הרשמיים עבור האפליקציה הספציפית המדוברת.

עם זאת, לא כולם נלקחים לאתרים לא בטוחים. רק מבקרים מאזורים גיאוגרפיים ספציפיים מופנים באופן סלקטיבי לאתרי הדיוג, מה שמבטיח סיכוי גבוה יותר לפתות קורבנות פוטנציאליים מהאזורים הנבחרים. אם מישהו ינסה להגיע לדפים על ידי פתיחה ישירה של הקישור שלו במקום להילקח לשם דרך מודעה, הוא יופנה לסרטון יוטיוב של הקלאסי "Never Gonna Give You Up" של ריק אסטלי - מהלך המכונה ריק-רולינג.

תוכנת זדונית החנקן שימשה ככל הנראה כדי לספק תוכנת כופר למכשירים שנפגעו

התוכנה המאיימת שנמסרת מהאתרים המזויפים מגיעה בצורה של מתקיני ISO עם טרויאניות בשם 'install.exe' הנושאות ולאחר מכן עומסות בצד קובץ DLL פגום 'msi.dll' (NitrogenInstaller). הוא פועל כמתקין עבור תוכנות זדוניות של חנקן. בנוסף, היא גם מקימה את האפליקציה המובטחת כדי להימנע מהעלאת חשדות כלשהם מצד הקורבנות. התוכנה הזדונית מייצרת מנגנון התמדה על ידי יצירת מפתח רישום 'Python' שפועל במרווח של חמש דקות ומצביע לעבר בינארי זדוני בשם 'pythonw.exe'.

רכיב ה-Python של התוכנה הזדונית, הנקרא 'python.311.dll' (NitrogenStager), לוקח אחריות על יצירת תקשורת עם שרת ה-Command-and-Control (C2) של ההאקרים. זה גם יוזם מעטפת Meterpreter ומשואות מכת Cobalt על המחשב של הקורבן.

במקרים מסוימים, התוקפים מבצעים פעולות מעשיות לאחר ביצוע התסריט של Meterpreter במערכות הממוקדות. הם משתמשים בפקודות ידניות כדי לאחזר קבצי ZIP נוספים וסביבות Python 3, הנחוצות להפעלת Cobalt Strike בזיכרון, מכיוון שה-NitrogenStager עצמו לא יכול להפעיל סקריפטים של Python. שרשרת ההדבקה של תוכנות זדוניות חנקן מצביעה על תכנון המכשירים שנפרצו לפריסה של מטענים סופיים של תוכנות כופר.