Malware de azot

Cercetătorii au descoperit o campanie inițială de acces malware pe care o urmăresc drept „azot”. Infractorii cibernetici au folosit reclamele de căutare Google și Bing pentru a promova site-uri web de software contrafăcute ca o modalitate de a infecta victimele nebănuitoare. Utilizatorii care vizitează aceste site-uri, fără să știe, cad victime ale implementării amenințătoarelor încărcături utile Cobalt Strike și ransomware.

Obiectivul principal din spatele malware-ului Nitrogen este de a oferi actorilor amenințărilor un punct de intrare inițial în rețelele corporative. Odată infiltrați, actorii rău intenționați dobândesc capacitatea de a fura date, de a se angaja în spionaj cibernetic și, în cele din urmă, de a dezlănțui distructivul ransomware BlackCat/ALPHV .

O analiză aprofundată a campaniei de azot a dezvăluit obiectivele sale principale, care cuprind în principal tehnologia și organizațiile non-profit situate în America de Nord. Atacatorii își execută schema prin uzurparea identității furnizorilor de software reputați precum AnyDesk, Cisco AnyConnect VPN, TreeSize Free și WinSCP. Această tactică înșelătoare îi înduce pe utilizatori să creadă că accesează software autentic, doar pentru a fi expuși pericolelor malware-ului Nitrogen.

Utilizarea reclamelor de căutare Google și Bing în această campanie adaugă un nivel suplimentar de sofisticare, permițând actorilor amenințărilor să ajungă la un grup mai larg de potențiale victime. Folosind aceste motoare de căutare populare, atacatorii cresc probabilitatea de a atrage utilizatorii să facă clic pe linkurile software frauduloase, inițiind astfel procesul de infecție rău intenționată.

Programul malware Nitrogen vizează victimele din anumite locații geografice

Campania Nitrogen Malware începe atunci când utilizatorii efectuează o căutare pe Google sau Bing pentru diverse aplicații software binecunoscute. Printre software-urile folosite ca momeală în această campanie se numără AnyDesk (o aplicație desktop la distanță), WinSCP (un client SFTP/FTP pentru Windows), Cisco AnyConnect (o suită VPN) și TreeSize Free (un calculator și manager de spațiu pe disc). Selectarea momelilor software se bazează pe criteriile de țintire ale atacatorilor.

Când un utilizator caută oricare dintre aceste aplicații software, motorul de căutare respectiv afișează o reclamă care pare să promoveze produsul software exact. Fără să vrea, utilizatorii pot face clic pe aceste anunțuri aparent legitime, sperând să descarce software-ul dorit.

Cu toate acestea, în loc să ajungă la site-ul web autentic, linkul redirecționează vizitatorii către pagini de găzduire WordPress compromise. Aceste pagini sunt proiectate cu pricepere pentru a imita aspectul site-urilor oficiale de descărcare pentru aplicația în cauză.

Cu toate acestea, nu toată lumea este dusă la site-uri web nesigure. Doar vizitatorii din anumite regiuni geografice sunt redirecționați selectiv către site-urile de phishing, asigurând o șansă mai mare de a atrage potențiale victime din zonele alese. Dacă cineva încearcă să ajungă la pagini deschizându-și direct linkul în loc să fie dus acolo printr-un anunț, va fi redirecționat către un videoclip YouTube cu clasicul „Never Gonna Give You Up” al lui Rick Astley – o mișcare cunoscută sub numele de rick-rolling.

Programul malware Nitrogen a fost probabil folosit pentru a furniza ransomware dispozitivelor compromise

Software-ul amenințător livrat de pe site-urile false vine sub forma unor programe de instalare ISO troiene numite „install.exe” care transportă și apoi încarcă lateral un fișier DLL corupt „msi.dll” (NitrogenInstaller). Acționează ca program de instalare pentru Nitrogen Malware. În plus, înființează și aplicația promisă pentru a evita ridicarea oricăror suspiciuni de la victime. Malware-ul stabilește un mecanism de persistență prin crearea unei chei de rulare a registrului „Python” care rulează la un interval de cinci minute și indică către un binar rău intenționat numit „pythonw.exe”.

Componenta Python a malware-ului, numită „python.311.dll” (NitrogenStager), se ocupă de stabilirea comunicării cu serverul Command-and-Control (C2) al hackerilor. De asemenea, inițiază un shell Meterpreter și Cobalt Strike Beacons pe computerul victimei.

În anumite cazuri, atacatorii se angajează în acțiuni practice odată ce scriptul Meterpreter este executat pe sistemele vizate. Ei folosesc comenzi manuale pentru a prelua fișiere ZIP suplimentare și medii Python 3, care sunt necesare pentru a rula Cobalt Strike în memorie, deoarece NitrogenStager în sine nu poate executa scripturi Python. Lanțul de infecție al malware-ului Nitrogen indică punerea în scenă a dispozitivelor compromise pentru implementarea sarcinilor finale de ransomware.