Novo malware Nitrogen infectando via Google Ads para ataques de ransomware
27 de Julho de 2023

Uma nova campanha de malware de acesso inicial Nitrogen usa anúncios de pesquisa do Google e Bing para promover sites de software falso que infectam usuários desavisados com payloads do Cobalt Strike e ransomware.

O objetivo do malware Nitrogênio é fornecer aos atores de ameaças acesso inicial às redes corporativas, permitindo que eles conduzam roubo de dados, ciberespionagem e, finalmente, implementação do ransomware BlackCat/ALPHV.

Hoje, a Sophos lançou um relatório sobre a campanha Nitrogênio, detalhando como ela tem como alvo principalmente organizações de tecnologia e sem fins lucrativos na América do Norte, imitando softwares populares como AnyDesk, Cisco AnyConnect VPN, TreeSize Free e WinSCP.

A eSentire foi a primeira a documentar a campanha Nitrogênio em junho, enquanto a Trend Micro analisou a atividade pós-compromisso dos anúncios do WinSCP levando a infecções por ransomware BlackCat/ALPHV no início do mês.

No entanto, esse relatório concentrou-se no estágio pós-infecção e carecia de extensos IoCs (Indicadores de Compromisso) devido à base em um único incidente de resposta.

A campanha de malware Nitrogênio começa com uma pessoa fazendo uma pesquisa no Google ou Bing para várias aplicações de software populares.

O software visto como iscas para a campanha de malware Nitrogênio inclui: Dependendo dos critérios de direcionamento, o motor de busca exibirá um anúncio que promove o software pesquisado.

O clique no link leva o visitante a páginas de hospedagem do WordPress comprometidas que imitam os sites legítimos de download de software para o aplicativo em particular.

Apenas visitantes de regiões geográficas específicas são redirecionadas para os sites de phishing, enquanto acessos diretos às URLs maliciosas acionam um redirecionamento de rick-rolling para vídeos do YouTube.

A partir desses sites falsos, os usuários baixam instaladores ISO trojanizados ("install.exe"), que contêm e carregam lateralmente um arquivo DLL malicioso ("msi.dll").

O msi.dll é o instalador para o malware de acesso inicial Nitrogênio chamado internamente de "NitrogênioInstaller", que também instala o aplicativo prometido para evitar suspeitas e um pacote Python malicioso.

O NitrogênioInstaller também cria uma chave de execução de registro chamada "Python" para persistência, apontando para um binário malicioso ("pythonw.exe") que é executado a cada cinco minutos.

O componente Python executará o "NitrogênioStager" ("python.311.dll"), que é responsável por estabelecer comunicação com o C2 do ator de ameaças e lançar um shell Meterpreter e Beacons Cobalt Strike no sistema da vítima.

Em alguns casos observados pelos analistas da Sophos, os invasores passaram a atividades manuais uma vez que o script Meterpreter foi executado no sistema alvo, executando comandos manuais para recuperar arquivos ZIP adicionais e ambientes Python 3.

Este último é necessário para executar o Cobalt Strike na memória, pois o NitrogênioStager não pode executar scripts Python.

A Sophos diz que, devido ao sucesso na detecção e interrupção dos ataques Nitrogênio observados, não determinou o objetivo do ator da ameaça, mas a cadeia de infecção aponta para a preparação dos sistemas comprometidos para a implementação de ransomware.

No entanto, a Trend Micro já havia relatado que essa cadeia de ataques levou ao lançamento do ransomware BlackCat em pelo menos um caso.

Essa campanha não é a primeira vez que gangues de ransomware abusaram de anúncios de mecanismos de busca para obter acesso inicial às redes corporativas, com as operações de ransomware do Royal e Clop usando essa tática no passado.

Os usuários são recomendados a evitar clicar em resultados "promovidos" nos mecanismos de pesquisa ao baixar software e, em vez disso, baixar apenas o site oficial do desenvolvedor.

Além disso, é preciso ter cuidado com qualquer download que utilize arquivos ISO para software, já que esse é um método incomum para distribuir software Windows legítimo, que normalmente vem como um arquivo .exe ou .zip.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...