A pesquisa mais recente descobriu campanhas de malvertising que abusam de anúncios do Google e do Bing para atingir usuários que buscam determinadas ferramentas de TI e implantam ransomware.
Esta campanha tem como alvo diversas organizações dos setores de tecnologia e sem fins lucrativos na América do Norte.
Esta campanha exibe características semelhantes da cadeia de infecção relacionadas à infecção pelo ransomware BlackCat (também conhecido como ALPHV).
Os pesquisadores de operações do Sophos X achar algo uma nova variante de malware chamada Nitrogen foi empregada para induzir os usuários a baixar instaladores ISO trojanizados.
Execução de Ataque:
Inicialmente, o agente da ameaça tem como alvo os usuários que visitam anúncios no Google e no Bing para obter ferramentas de software e, em seguida, os redireciona para um site malicioso hospedado pelo agente da ameaça.
Esta campanha visa especificamente profissionais de TI, já que os sites anunciados se apresentam como instaladores de software proeminentes, como AnyDesk, WinSCP e Cisco AnyConnect VPN.
Por exemplo, quando um usuário consulta o Google sobre WinSCP, um anúncio do Google que faz referência a ‘Transferência segura de arquivos – para Windows’no site softwareinteractivo[.]com
Este site é uma página de phishing que se faz passar por um blog de conselhos de administradores de sistema.
Depois que um usuário baixa um instalador trojanizado, as imagens ISO são colocadas no computador comprometido.
Esses arquivos são então montados em Windows Explorer e podem ser transferidos para uma unidade, onde seu conteúdo é acessível.
Quando executado, o arquivo msiexec.exe renomeado carrega o arquivo NitrogenInstaller contido na mesma imagem.
Essa técnica de carregamento lateral de bibliotecas de vínculo dinâmico (DLLs) é usada por agentes de ameaças para disfarçar atividades maliciosas como um processo legítimo.
Além disso, eles empregam a técnica de proxy de DLL, encaminhando funções exportadas para o arquivo msi.dll legítimo no diretório do sistema.
Uma vez executado, este NitrogenInstaller descarta um instalador limpo para o aplicativo falsificado legítimo (por exemplo, instalador Inno para WinSCP)
Além disso, ele descarta dois pacotes Python: um arquivo Python legítimo e um NitrogenStager.
O NitrogenInstaller tenta obter privilégios elevados ignorando o Controle de Acesso do Usuário (UAC) com o CMSTPLUA CLSID.
E o Nitrogenstager cria um shell TCP reverso Meterpreter, permitindo que os agentes de ameaças executem código no sistema comprometido remotamente.
Mantenha-se informado sobre as últimas notícias sobre segurança cibernética seguindo-nos no Notícias do Google, Linkedin, Twittere Facebook.
