NotĂ­cias de dispositivos mĂłveis, gadgets, aplicativos Android

Hacker usa anĂșncios do Google e do Bing para fornecer ferramentas de TI armadas

A pesquisa mais recente descobriu campanhas de malvertising que abusam de anĂșncios do Google e do Bing para atingir usuĂĄrios que buscam determinadas ferramentas de TI e implantam ransomware.

Esta campanha tem como alvo diversas organizaçÔes dos setores de tecnologia e sem fins lucrativos na América do Norte.

Esta campanha exibe características semelhantes da cadeia de infecção relacionadas à infecção pelo ransomware BlackCat (também conhecido como ALPHV).

Os pesquisadores de operaçÔes do Sophos X achar algo uma nova variante de malware chamada Nitrogen foi empregada para induzir os usuårios a baixar instaladores ISO trojanizados.

Execução de Ataque:

Inicialmente, o agente da ameaça tem como alvo os usuĂĄrios que visitam anĂșncios no Google e no Bing para obter ferramentas de software e, em seguida, os redireciona para um site malicioso hospedado pelo agente da ameaça.

Esta campanha visa especificamente profissionais de TI, jĂĄ que os sites anunciados se apresentam como instaladores de software proeminentes, como AnyDesk, WinSCP e Cisco AnyConnect VPN.

Por exemplo, quando um usuĂĄrio consulta o Google sobre WinSCP, um anĂșncio do Google que faz referĂȘncia a ‘TransferĂȘncia segura de arquivos – para Windows’no site softwareinteractivo[.]com

Este site Ă© uma pĂĄgina de phishing que se faz passar por um blog de conselhos de administradores de sistema.

Depois que um usuĂĄrio baixa um instalador trojanizado, as imagens ISO sĂŁo colocadas no computador comprometido.

Esses arquivos sĂŁo entĂŁo montados em Windows Explorer e podem ser transferidos para uma unidade, onde seu conteĂșdo Ă© acessĂ­vel.

Quando executado, o arquivo msiexec.exe renomeado carrega o arquivo NitrogenInstaller contido na mesma imagem.

Essa técnica de carregamento lateral de bibliotecas de vínculo dinùmico (DLLs) é usada por agentes de ameaças para disfarçar atividades maliciosas como um processo legítimo.

NĂłs recomendamos:  Samsung Galaxy S23 FE Ă© listado no Bluetooth SIG apĂłs obter a certificação BIS

Além disso, eles empregam a técnica de proxy de DLL, encaminhando funçÔes exportadas para o arquivo msi.dll legítimo no diretório do sistema.

Uma vez executado, este NitrogenInstaller descarta um instalador limpo para o aplicativo falsificado legĂ­timo (por exemplo, instalador Inno para WinSCP)

Além disso, ele descarta dois pacotes Python: um arquivo Python legítimo e um NitrogenStager.

O NitrogenInstaller tenta obter privilégios elevados ignorando o Controle de Acesso do Usuårio (UAC) com o CMSTPLUA CLSID.

E o Nitrogenstager cria um shell TCP reverso Meterpreter, permitindo que os agentes de ameaças executem código no sistema comprometido remotamente.

Mantenha-se informado sobre as Ășltimas notĂ­cias sobre segurança cibernĂ©tica seguindo-nos no NotĂ­cias do Google, Linkedin, Twittere Facebook.