Нитроген Малваре

Истраживачи су открили почетну кампању злонамерног софтвера за приступ коју прате као „азот“. Сајбер-криминалци користе Гоогле и Бинг огласе за претрагу да промовишу веб-сајтове са фалсификованим софтвером као начин да заразе несуђене жртве. Корисници који посећују ове сајтове несвесно постају жртве примене претећег Цобалт Стрике- а и рансомваре-а.

Основни циљ иза Нитроген малвера је да се актерима претњи омогући почетна улазна тачка у корпоративне мреже. Једном када се инфилтрирају, злонамерни актери добијају могућност да изврше крађу података, упусте се у сајбер шпијунажу и на крају ослободе деструктивни БлацкЦат/АЛПХВ Рансомваре .

Детаљна анализа азотне кампање открила је њене примарне циљеве, који претежно обухватају технологију и непрофитне организације које се налазе у Северној Америци. Нападачи извршавају своју шему лажно представљајући реномиране добављаче софтвера као што су АниДеск, Цисцо АниЦоннецт ВПН, ТрееСизе Фрее и ВинСЦП. Ова обмањујућа тактика обмањује кориснике да поверују да приступају оригиналном софтверу, да би уместо тога били изложени опасностима од малвера Нитроген.

Коришћење Гоогле и Бинг огласа за претрагу у овој кампањи додаје додатни слој софистицираности, омогућавајући актерима претњи да дођу до шире групе потенцијалних жртава. Користећи ове популарне претраживаче, нападачи повећавају вероватноћу да ће намамити кориснике да кликну на лажне софтверске везе, чиме покрећу процес злонамерне инфекције.

Азотни злонамерни софтвер циља на жртве са одређених географских локација

Кампања Нитроген Малваре почиње када корисници изврше претрагу на Гоогле-у или Бинг-у за различитим познатим софтверским апликацијама. Међу софтвером који се користи као мамац у овој кампањи су АниДеск (апликација за удаљену радну површину), ВинСЦП (СФТП/ФТП клијент за Виндовс), Цисцо АниЦоннецт (ВПН пакет) и ТрееСизе Фрее (калкулатор и менаџер простора на диску). Избор софтверских мамаца заснива се на критеријумима циљања нападача.

Када корисник тражи било коју од ових софтверских апликација, одговарајући претраживач приказује оглас који промовише тачан софтверски производ. Несвесно, корисници могу кликнути на ове наизглед легитимне огласе, надајући се да ће преузети жељени софтвер.

Међутим, уместо да дође до праве веб локације, линк преусмерава посетиоце на угрожене странице за хостовање ВордПресс-а. Ове странице су вешто дизајниране да опонашају изглед званичних сајтова за преузимање за одређену апликацију у питању.

Међутим, нису сви одведени на несигурне веб локације. Само посетиоци из одређених географских региона се селективно преусмеравају на сајтове за пхисхинг, обезбеђујући веће шансе да се потенцијалне жртве привуку из изабраних области. Ако неко покуша да дође до страница директним отварањем своје везе уместо да буде одведен тамо преко огласа, биће преусмерен на ИоуТубе видео класика Рика Естлија „Невер Гонна Гиве Иоу Уп“ – потез познат као рицк-роллинг.

Злонамерни софтвер азота је вероватно коришћен за испоруку рансомваре-а на компромитоване уређаје

Претећи софтвер који се испоручује са лажних сајтова долази у облику тројанизованих ИСО инсталатера под називом 'инсталл.еке' који носе и затим учитавају оштећену ДЛЛ датотеку 'мси.длл' (НитрогенИнсталлер). Делује као инсталатер за Нитроген Малваре. Поред тога, он такође поставља обећану апликацију како би се избегло подизање било какве сумње од жртава. Злонамерни софтвер успоставља механизам постојаности креирањем кључа за покретање „Питхон“ регистратора који се покреће у интервалу од пет минута и указује на злонамерни бинарни фајл под називом „питхонв.еке“.

Питхон компонента малвера, названа 'питхон.311.длл' (НитрогенСтагер), преузима одговорност за успостављање комуникације са командним и контролним сервером хакера (Ц2). Такође покреће Метерпретер шкољку и Цобалт Стрике Беацонс на рачунару жртве.

У одређеним случајевима, нападачи се упуштају у практичне акције када се скрипта Метерпретер изврши на циљаним системима. Они користе ручне команде за преузимање додатних ЗИП датотека и Питхон 3 окружења, која су неопходна за покретање Цобалт Стрике-а у меморији, пошто сам НитрогенСтагер не може да изврши Питхон скрипте. Ланац заразе злонамерног софтвера Нитроген указује на постављање компромитованих уређаја за примену коначног рансомвера.