Uma nova campanha de malware de acesso inicial Nitrogen usa anúncios de pesquisa do Google e Bing para promover sites de software falso que infectam usuários desavisados com payloads do Cobalt Strike e ransomware.
O objetivo do malware Nitrogênio é fornecer aos atores de ameaças acesso inicial às redes corporativas, permitindo que eles conduzam roubo de dados, ciberespionagem e, finalmente, implementação do ransomware BlackCat/ALPHV.
Hoje, a Sophos lançou um relatório sobre a campanha Nitrogênio, detalhando como ela tem como alvo principalmente organizações de tecnologia e sem fins lucrativos na América do Norte, imitando softwares populares como AnyDesk, Cisco AnyConnect VPN, TreeSize Free e WinSCP.
A eSentire foi a primeira a documentar a campanha Nitrogênio em junho, enquanto a Trend Micro analisou a atividade pós-compromisso dos anúncios do WinSCP levando a infecções por ransomware BlackCat/ALPHV no início do mês.
No entanto, esse relatório concentrou-se no estágio pós-infecção e carecia de extensos IoCs (Indicadores de Compromisso) devido à base em um único incidente de resposta.
A campanha de malware Nitrogênio começa com uma pessoa fazendo uma pesquisa no Google ou Bing para várias aplicações de software populares.
O software visto como iscas para a campanha de malware Nitrogênio inclui: Dependendo dos critérios de direcionamento, o motor de busca exibirá um anúncio que promove o software pesquisado.
O clique no link leva o visitante a páginas de hospedagem do WordPress comprometidas que imitam os sites legítimos de download de software para o aplicativo em particular.
Apenas visitantes de regiões geográficas específicas são redirecionadas para os sites de phishing, enquanto acessos diretos às URLs maliciosas acionam um redirecionamento de rick-rolling para vídeos do YouTube.
A partir desses sites falsos, os usuários baixam instaladores ISO trojanizados ("install.exe"), que contêm e carregam lateralmente um arquivo DLL malicioso ("msi.dll").
O msi.dll é o instalador para o malware de acesso inicial Nitrogênio chamado internamente de "NitrogênioInstaller", que também instala o aplicativo prometido para evitar suspeitas e um pacote Python malicioso.
O NitrogênioInstaller também cria uma chave de execução de registro chamada "Python" para persistência, apontando para um binário malicioso ("pythonw.exe") que é executado a cada cinco minutos.
O componente Python executará o "NitrogênioStager" ("python.311.dll"), que é responsável por estabelecer comunicação com o C2 do ator de ameaças e lançar um shell Meterpreter e Beacons Cobalt Strike no sistema da vítima.
Em alguns casos observados pelos analistas da Sophos, os invasores passaram a atividades manuais uma vez que o script Meterpreter foi executado no sistema alvo, executando comandos manuais para recuperar arquivos ZIP adicionais e ambientes Python 3.
Este último é necessário para executar o Cobalt Strike na memória, pois o NitrogênioStager não pode executar scripts Python.
A Sophos diz que, devido ao sucesso na detecção e interrupção dos ataques Nitrogênio observados, não determinou o objetivo do ator da ameaça, mas a cadeia de infecção aponta para a preparação dos sistemas comprometidos para a implementação de ransomware.
No entanto, a Trend Micro já havia relatado que essa cadeia de ataques levou ao lançamento do ransomware BlackCat em pelo menos um caso.
Essa campanha não é a primeira vez que gangues de ransomware abusaram de anúncios de mecanismos de busca para obter acesso inicial às redes corporativas, com as operações de ransomware do Royal e Clop usando essa tática no passado.
Os usuários são recomendados a evitar clicar em resultados "promovidos" nos mecanismos de pesquisa ao baixar software e, em vez disso, baixar apenas o site oficial do desenvolvedor.
Além disso, é preciso ter cuidado com qualquer download que utilize arquivos ISO para software, já que esse é um método incomum para distribuir software Windows legítimo, que normalmente vem como um arquivo .exe ou .zip.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...