0
0
Os hackers estão plantando anúncios falsos – “malvertisements” – para ferramentas de TI populares em mecanismos de pesquisa, na esperança de atrair profissionais de TI e realizar futuros ataques de ransomware.
O esquema envolve anúncios pay-per-click em sites como Google e Bing, que apontam para sites WordPress comprometidos e páginas de phishing que imitam páginas de download de software como AnyDesk, Cisco AnyConnect, TreeSize Free e WinSCP. Visitantes desavisados acabam baixando o software real que pretendiam, juntamente com um pacote Python trojanizado contendo malware de acesso inicial, que os invasores usam para descartar outras cargas úteis.
Pesquisadores da Sophos estão chamando a campanha de “Nitrogênio”. Já tocou várias empresas de tecnologia e organizações sem fins lucrativos na América do Norte. Embora nenhum dos casos conhecidos tenha sido bem-sucedido, os pesquisadores observaram que “centenas de marcas cooptaram esse tipo de publicidade maliciosa em várias campanhas nos últimos meses”.
“A principal coisa aqui é que eles visam o pessoal de TI”, diz Christopher Budd, diretor da Sophos X-Ops. Pular direto para as pessoas mais próximas dos sistemas mais sensíveis de uma organização, diz ele, “é na verdade uma maneira bastante eficiente e eficaz de segmentação”.
Honeypots para profissionais de TI
Os internautas de mecanismos de pesquisa que clicam em um malvertisement do Nitrogen normalmente acabam em uma página de phishing que imita a página de download real do software que estão tentando baixar – por exemplo, “winsccp[.]com”, com aquele “c” extra sutilmente adicionado em.
Em um caso, em vez de uma mera página de phishing, os pesquisadores descobriram um site WordPress comprometido em mypondsoftware[.]com/cisco. Os pesquisadores observaram que “todos os outros links no myponsdsoftware[.]com apontam para páginas da Web cisco.com legítimas, exceto o link de download desse instalador específico”, que direciona para uma página de phishing maliciosa.
Clicar em “download” em qualquer uma dessas páginas fará o download de um instalador ISO trojanizado, que carrega um arquivo de biblioteca de vínculo dinâmico (DLL) malicioso. O arquivo DLL contém, de fato, o software desejado pelo usuário, mas também o malware de acesso inicial.
A partir daqui, a cadeia de ataque maliciosa estabelece uma conexão com a infraestrutura de comando e controle (C2) controlada pelo invasor e instala um shell e um Cobalt Strike Beacon no computador host para facilitar a persistência e os comandos remotos.
O que o nitrogênio é depois
Pode parecer arriscado visar profissionais de TI – pessoas com, presumivelmente, o conhecimento técnico para extinguir ataques de phishing. Budd reconhece que “a taxa de acerto pode ser baixa, por se tratar de um público mais sofisticado. Mas o retorno, pela sensibilidade desse público” — ou seja, sua proximidade com os sistemas mais sensíveis de uma rede corporativa — ” pode ser maior nesses menos hits, fazendo com que valha a pena.”
O que os hackers podem fazer com esse acesso confidencial? Budd parou antes de atribuir intenções específicas, mas observou um relatório publicado no mês passado pela Trend Micro, que parece mapear a campanha do nitrogênio. Nesse caso, os invasores usaram seu acesso habilitado para malvertising para instalar o ransomware BlackCat na rede de seu alvo .
Se os invasores estiverem usando malvertisements voltados para TI para agilizar suas campanhas de ransomware, diz ele, os profissionais de TI precisam ficar mais alertas. Evitar o perigo, felizmente, é relativamente simples.
“As pessoas estão usando pesquisas para encontrar essas ferramentas de software, e é aí que estão tendo problemas desde o início”, explica ele. “Em vez de procurar a ferramenta, saiba quem é o fabricante da ferramenta, navegue até o site deles, verifique usando o certificado por HTTPS que você está falando com o servidor que pensa ser e obtenha suas ferramentas com eles. “
FONTE: DARKREADING