Nitrogen Malware

Os pesquisadores descobriram uma campanha inicial de malware de acesso que eles estão rastreando como 'Nitrogênio'. Os cibercriminosos têm utilizado os anúncios de pesquisa do Google e do Bing para promover sites de software falsificados como forma de infectar vítimas inocentes. Os usuários que visitam esses sites, sem saber, são vítimas da implantação do ameaçador Cobalt Strike e cargas úteis de ransomware.

O principal objetivo por trás do malware Nitrogen é conceder aos agentes de ameaças um ponto de entrada inicial nas redes corporativas. Uma vez infiltrados, os agentes mal-intencionados ganham a capacidade de realizar roubo de dados, participar de ciberespionagem e, por fim, liberar o destrutivo BlackCat/ALPHV Ransomware.

Uma análise aprofundada da campanha do nitrogênio revelou seus principais alvos, que abrangem predominantemente tecnologia e organizações sem fins lucrativos situadas na América do Norte. Os invasores executam seu esquema representando fornecedores de software respeitáveis como AnyDesk, Cisco AnyConnect VPN, TreeSize Free e WinSCP. Essa tática enganosa leva os usuários a acreditar que estão acessando um software genuíno, apenas para, em vez disso, serem expostos aos perigos do malware Nitrogen.

O uso de anúncios de pesquisa do Google e do Bing nesta campanha adiciona uma camada adicional de sofisticação, permitindo que os agentes de ameaças alcancem um grupo mais amplo de vítimas em potencial. Ao aproveitar esses mecanismos de pesquisa populares, os invasores aumentam a probabilidade de induzir os usuários a clicar nos links de software fraudulentos, iniciando assim o processo de infecção maliciosa.

O Nitrogen Visa Vítimas de Locais Geográficos Específicos

A campanha do Nitrogen Malware começa quando os usuários realizam uma pesquisa no Google ou Bing para vários aplicativos de software conhecidos. Entre os softwares usados como isca nesta campanha estão AnyDesk (aplicativo de desktop remoto), WinSCP (cliente SFTP/FTP para Windows), Cisco AnyConnect (uma suíte VPN) e TreeSize Free (uma calculadora e gerenciador de espaço em disco). A seleção de iscas de software é baseada nos critérios de segmentação dos invasores.

Quando um usuário pesquisa qualquer um desses aplicativos de software, o respectivo mecanismo de pesquisa exibe um anúncio que parece promover o produto de software exato. Involuntariamente, os usuários podem clicar nesses anúncios aparentemente legítimos, na esperança de baixar o software desejado.

No entanto, em vez de acessar o site original, o link redireciona os visitantes para páginas de hospedagem comprometidas do WordPress. Essas páginas são habilmente projetadas para imitar a aparência dos sites de download oficiais do aplicativo específico em questão.

No entanto, nem todos são levados a sites inseguros. Somente visitantes de regiões geográficas específicas são redirecionados seletivamente para os sites de phishing, garantindo uma chance maior de atrair possíveis vítimas das áreas escolhidas. Se alguém tentar acessar as páginas abrindo diretamente o link em vez de ser direcionado para lá por meio de um anúncio, será redirecionado para um vídeo do YouTube do clássico de Rick Astley 'Never Gonna Give You Up' - um movimento conhecido como rick-rolling.

O Nitrogen Malware Provavelmente foi Usado para Instalar Ransomware nos Dispositivos Comprometidos

O software ameaçador fornecido pelos sites falsos vem na forma de instaladores ISO trojanizados chamados 'install.exe' que carregam e, em seguida, carregam um arquivo DLL corrompido 'msi.dll' (NitrogenInstaller). Ele atua como o instalador do Nitrogen Malware. Além disso, também configura o aplicativo prometido para evitar suspeitas por parte das vítimas. O malware estabelece um mecanismo de persistência criando uma chave de execução de registro 'Python' que é executada em um intervalo de cinco minutos e aponta para um binário malicioso chamado 'pythonw.exe'.

O componente Python do malware, chamado 'python.311.dll' (NitrogenStager), se encarrega de estabelecer a comunicação com o servidor de comando e controle (C2) dos hackers. Ele também inicia um shell Meterpreter e Cobalt Strike Beacons no computador da vítima.

Em certos casos, os invasores se envolvem em ações práticas assim que o script do Meterpreter é executado nos sistemas visados. Eles usam comandos manuais para recuperar arquivos ZIP adicionais e ambientes Python 3, que são necessários para executar o Cobalt Strike na memória, pois o próprio NitrogenStager não pode executar scripts Python. A cadeia de infecção do malware Nitrogen aponta para a preparação dos dispositivos comprometidos para a implantação de cargas finais de ransomware.