Nitrogen skadelig programvare

Forskere har avdekket en første malware-kampanje for tilgang som de sporer som "Nitrogen". Nettkriminelle har brukt søkeannonser fra Google og Bing for å markedsføre nettsteder med forfalsket programvare som en måte å infisere intetanende ofre. Brukere som besøker disse sidene, blir ubevisst ofre for utplasseringen av den truende Cobalt Strike og løsepengevare.

Hovedmålet bak Nitrogen malware er å gi trusselaktører et første inngangspunkt til bedriftsnettverk. Når de er infiltrert, får de ondsinnede aktørene muligheten til å utføre datatyveri, engasjere seg i cyberspionasje og til slutt slippe løs den destruktive BlackCat/ALPHV Ransomware .

En grundig analyse av Nitrogen-kampanjen har avslørt dens primære mål, som hovedsakelig omfatter teknologi og ideelle organisasjoner i Nord-Amerika. Angriperne utfører opplegget sitt ved å etterligne anerkjente programvareleverandører som AnyDesk, Cisco AnyConnect VPN, TreeSize Free og WinSCP. Denne villedende taktikken lurer brukere til å tro at de har tilgang til ekte programvare, bare for i stedet å bli utsatt for farene med Nitrogen-malware.

Bruken av Google- og Bing-søkeannonser i denne kampanjen legger til et ekstra lag med raffinement, som gjør det mulig for trusselaktørene å nå et bredere utvalg av potensielle ofre. Ved å utnytte disse populære søkemotorene øker angriperne sannsynligheten for å lokke brukere til å klikke på de uredelige programvarekoblingene, og dermed sette i gang den ondsinnede infeksjonsprosessen.

Nitrogen-skadelig programvare retter seg mot ofre fra spesifikke geografiske steder

Nitrogen Malware-kampanjen starter når brukere utfører et Google- eller Bing-søk etter forskjellige velkjente programvareapplikasjoner. Blant programvaren som brukes som agn i denne kampanjen er AnyDesk (en ekstern skrivebordsapplikasjon), WinSCP (en SFTP/FTP-klient for Windows), Cisco AnyConnect (en VPN-pakke) og TreeSize Free (en diskplasskalkulator og -behandler). Valget av programvarelokker er basert på angripernes målrettingskriterier.

Når en bruker søker etter noen av disse programvareapplikasjonene, viser den respektive søkemotoren en annonse som ser ut til å promotere det eksakte programvareproduktet. Uvitende kan brukere klikke på disse tilsynelatende legitime annonsene i håp om å laste ned ønsket programvare.

Men i stedet for å nå det ekte nettstedet, omdirigerer lenken besøkende til kompromitterte WordPress-vertssider. Disse sidene er dyktig utformet for å etterligne utseendet til de offisielle nedlastingssidene for den aktuelle applikasjonen.

Det er imidlertid ikke alle som blir tatt til usikre nettsider. Bare besøkende fra spesifikke geografiske regioner blir selektivt omdirigert til phishing-nettstedene, noe som sikrer en høyere sjanse for å lokke potensielle ofre fra de valgte områdene. Hvis noen prøver å nå sidene ved å åpne lenken deres direkte i stedet for å bli ført dit gjennom en annonse, vil de bli omdirigert til en YouTube-video av Rick Astleys klassiker "Never Gonna Give You Up" – et trekk kjent som rick-rolling.

Nitrogen-skadelig programvare ble sannsynligvis brukt til å levere løsepengeprogramvare til kompromitterte enheter

Den truende programvaren levert fra de falske sidene kommer i form av trojaniserte ISO-installatører kalt 'install.exe' som bærer og deretter sidelaster en ødelagt DLL-fil 'msi.dll' (NitrogenInstaller). Den fungerer som installasjonsprogrammet for Nitrogen Malware. I tillegg setter den også opp den lovede applikasjonen for å unngå å reise mistanker fra ofrene. Skadevaren etablerer en utholdenhetsmekanisme ved å lage en "Python"-registreringsnøkkel som kjører med et intervall på fem minutter og peker mot en ondsinnet binærfil kalt "pythonw.exe".

Python-komponenten av skadelig programvare, kalt 'python.311.dll' (NitrogenStager), tar ansvar for å etablere kommunikasjon med hackernes Command-and-Control-server (C2). Den initierer også et Meterpreter- skall og Cobalt Strike Beacons på offerets datamaskin.

I visse tilfeller engasjerer angriperne seg i praktiske handlinger når Meterpreter-skriptet er utført på de målrettede systemene. De bruker manuelle kommandoer for å hente ytterligere ZIP-filer og Python 3-miljøer, som er nødvendige for å kjøre Cobalt Strike i minnet, siden NitrogenStager selv ikke kan kjøre Python-skript. Infeksjonskjeden av Nitrogen-malware peker på å iscenesette de kompromitterte enhetene for distribusjon av endelige løsepengevare.