Malware di azoto

I ricercatori hanno scoperto una campagna di malware ad accesso iniziale che stanno monitorando come "Nitrogen". I criminali informatici hanno utilizzato gli annunci di ricerca di Google e Bing per promuovere siti Web di software contraffatti come un modo per infettare vittime ignare. Gli utenti che visitano questi siti cadono inconsapevolmente vittime del dispiegamento del minaccioso Cobalt Strike e dei payload del ransomware.

L'obiettivo principale alla base del malware Nitrogen è garantire agli autori delle minacce un punto di ingresso iniziale nelle reti aziendali. Una volta infiltrati, gli attori malintenzionati acquisiscono la capacità di effettuare furti di dati, impegnarsi in spionaggio informatico e infine scatenare il distruttivo BlackCat/ALPHV Ransomware .

Un'analisi approfondita della campagna Nitrogen ha rivelato i suoi obiettivi primari, che comprendono prevalentemente tecnologia e organizzazioni no-profit situate in Nord America. Gli aggressori eseguono il loro schema impersonando fornitori di software affidabili come AnyDesk, Cisco AnyConnect VPN, TreeSize Free e WinSCP. Questa tattica ingannevole induce gli utenti a credere di accedere a software autentico, solo per essere invece esposti ai pericoli del malware Nitrogen.

L'uso degli annunci di ricerca di Google e Bing in questa campagna aggiunge un ulteriore livello di sofisticazione, consentendo agli autori delle minacce di raggiungere un pool più ampio di potenziali vittime. Sfruttando questi popolari motori di ricerca, gli aggressori aumentano la probabilità di indurre gli utenti a fare clic sui collegamenti software fraudolenti, avviando così il processo di infezione dannosa.

Il malware Nitrogen prende di mira le vittime di specifiche località geografiche

La campagna Nitrogen Malware inizia quando gli utenti eseguono una ricerca su Google o Bing per varie applicazioni software note. Tra i software utilizzati come esca in questa campagna ci sono AnyDesk (un'applicazione desktop remota), WinSCP (un client SFTP/FTP per Windows), Cisco AnyConnect (una suite VPN) e TreeSize Free (un calcolatore e gestore dello spazio su disco). La selezione delle esche software si basa sui criteri di targeting degli aggressori.

Quando un utente cerca una di queste applicazioni software, il rispettivo motore di ricerca visualizza un annuncio pubblicitario che sembra promuovere il prodotto software esatto. Inconsapevolmente, gli utenti possono fare clic su questi annunci apparentemente legittimi, sperando di scaricare il software desiderato.

Tuttavia, invece di raggiungere il sito Web originale, il collegamento reindirizza i visitatori a pagine di hosting WordPress compromesse. Queste pagine sono abilmente progettate per imitare l'aspetto dei siti di download ufficiali per l'applicazione specifica in questione.

Tuttavia, non tutti vengono portati su siti Web non sicuri. Solo i visitatori provenienti da specifiche aree geografiche vengono reindirizzati in modo selettivo ai siti di phishing, garantendo una maggiore possibilità di attirare potenziali vittime dalle aree prescelte. Se qualcuno tenta di raggiungere le pagine aprendo direttamente il proprio link invece di essere portato lì tramite un annuncio, verrebbe reindirizzato a un video di YouTube del classico "Never Gonna Give You Up" di Rick Astley, una mossa nota come rick-rolling.

Il malware Nitrogen è stato probabilmente utilizzato per fornire ransomware a dispositivi compromessi

Il software minaccioso fornito dai siti falsi si presenta sotto forma di programmi di installazione ISO trojanizzati denominati "install.exe" che trasportano e quindi caricano un file DLL danneggiato "msi.dll" (NitrogenInstaller). Funge da programma di installazione per Nitrogen Malware. Inoltre, imposta anche l'applicazione promessa per evitare di sollevare sospetti da parte delle vittime. Il malware stabilisce un meccanismo di persistenza creando una chiave di esecuzione del registro "Python" che viene eseguita a intervalli di cinque minuti e punta a un binario dannoso denominato "pythonw.exe".

Il componente Python del malware, chiamato "python.311.dll" (NitrogenStager), si occupa di stabilire la comunicazione con il server Command-and-Control (C2) degli hacker. Avvia anche una shell Meterpreter e Cobalt Strike Beacons sul computer della vittima.

In alcuni casi, gli aggressori intraprendono azioni pratiche una volta eseguito lo script Meterpreter sui sistemi presi di mira. Usano comandi manuali per recuperare file ZIP aggiuntivi e ambienti Python 3, necessari per eseguire Cobalt Strike in memoria, poiché lo stesso NitrogenStager non può eseguire script Python. La catena di infezione del malware Nitrogen punta alla messa in scena dei dispositivi compromessi per la distribuzione dei payload finali del ransomware.