Esforço do ransomware ‘Nitrogen’ atrai profissionais de TI via Google e Bing Ads

Views: 127
0 0
Read Time:3 Minute, 13 Second

Os hackers estão plantando  anúncios falsos – “malvertisements”  – para ferramentas de TI populares em mecanismos de pesquisa, na esperança de atrair profissionais de TI e realizar futuros ataques de ransomware.

O esquema envolve anúncios pay-per-click em sites como Google e Bing, que apontam para sites WordPress comprometidos e páginas de phishing que imitam páginas de download de software como AnyDesk, Cisco AnyConnect, TreeSize Free e WinSCP. Visitantes desavisados ​​acabam baixando o software real que pretendiam, juntamente com um pacote Python trojanizado contendo malware de acesso inicial, que os invasores usam para descartar outras cargas úteis.

Pesquisadores da Sophos estão  chamando a campanha de “Nitrogênio”.  Já tocou várias empresas de tecnologia e organizações sem fins lucrativos na América do Norte. Embora nenhum dos casos conhecidos tenha sido bem-sucedido, os pesquisadores observaram que “centenas de marcas cooptaram esse tipo de publicidade maliciosa em várias campanhas nos últimos meses”.

“A principal coisa aqui é que eles visam o pessoal de TI”, diz Christopher Budd, diretor da Sophos X-Ops. Pular direto para as pessoas mais próximas dos sistemas mais sensíveis de uma organização, diz ele, “é na verdade uma maneira bastante eficiente e eficaz de segmentação”.

Honeypots para profissionais de TI

Os internautas de mecanismos de pesquisa que clicam em um malvertisement do Nitrogen normalmente acabam em uma página de phishing que imita a página de download real do software que estão tentando baixar – por exemplo, “winsccp[.]com”, com aquele “c” extra sutilmente adicionado em.

Em um caso, em vez de uma mera página de phishing, os pesquisadores descobriram um site WordPress comprometido em mypondsoftware[.]com/cisco. Os pesquisadores observaram que “todos os outros links no myponsdsoftware[.]com apontam para páginas da Web cisco.com legítimas, exceto o link de download desse instalador específico”, que direciona para uma página de phishing maliciosa.

Clicar em “download” em qualquer uma dessas páginas fará o download de um instalador ISO trojanizado, que carrega um arquivo de biblioteca de vínculo dinâmico (DLL) malicioso. O arquivo DLL contém, de fato, o software desejado pelo usuário, mas também o malware de acesso inicial.

A partir daqui, a cadeia de ataque maliciosa estabelece uma conexão com a infraestrutura de comando e controle (C2) controlada pelo invasor e instala um shell e um Cobalt Strike Beacon no computador host para facilitar a persistência e os comandos remotos.

O que o nitrogênio é depois

Pode parecer arriscado visar profissionais de TI – pessoas com, presumivelmente, o conhecimento técnico para extinguir ataques de phishing. Budd reconhece que “a taxa de acerto pode ser baixa, por se tratar de um público mais sofisticado. Mas o retorno, pela sensibilidade desse público” — ou seja, sua proximidade com os sistemas mais sensíveis de uma rede corporativa — ” pode ser maior nesses menos hits, fazendo com que valha a pena.”

O que os hackers podem fazer com esse acesso confidencial? Budd parou antes de atribuir intenções específicas, mas observou  um relatório publicado no mês passado pela Trend Micro,  que parece mapear a campanha do nitrogênio. Nesse caso, os invasores usaram seu acesso habilitado para malvertising para instalar  o ransomware BlackCat na rede de seu alvo .

Se os invasores estiverem usando malvertisements voltados para TI para agilizar suas campanhas de ransomware, diz ele, os profissionais de TI precisam ficar mais alertas. Evitar o perigo, felizmente, é relativamente simples.

“As pessoas estão usando pesquisas para encontrar essas ferramentas de software, e é aí que estão tendo problemas desde o início”, explica ele. “Em vez de procurar a ferramenta, saiba quem é o fabricante da ferramenta, navegue até o site deles, verifique usando o certificado por HTTPS que você está falando com o servidor que pensa ser e obtenha suas ferramentas com eles. “

FONTE: DARKREADING

POSTS RELACIONADOS