Malware de nitrógeno
Los investigadores han descubierto una campaña de malware de acceso inicial que están rastreando como 'Nitrógeno'. Los ciberdelincuentes han estado utilizando los anuncios de búsqueda de Google y Bing para promocionar sitios web de software falsificado como una forma de infectar a las víctimas desprevenidas. Los usuarios que visitan estos sitios sin saberlo son víctimas del despliegue de las cargas útiles de Cobalt Strike y ransomware.
El objetivo central detrás del malware Nitrogen es otorgar a los actores de amenazas un punto de entrada inicial a las redes corporativas. Una vez infiltrados, los actores malintencionados adquieren la capacidad de llevar a cabo el robo de datos, participar en el ciberespionaje y, en última instancia, desatar el destructivo BlackCat/ALPHV Ransomware .
Un análisis en profundidad de la campaña Nitrogen ha revelado sus objetivos principales, que abarcan predominantemente organizaciones tecnológicas y sin fines de lucro ubicadas en América del Norte. Los atacantes ejecutan su esquema haciéndose pasar por proveedores de software acreditados como AnyDesk, Cisco AnyConnect VPN, TreeSize Free y WinSCP. Esta táctica engañosa engaña a los usuarios haciéndoles creer que están accediendo a un software genuino, solo para quedar expuestos a los peligros del malware Nitrogen.
El uso de anuncios de búsqueda de Google y Bing en esta campaña agrega una capa adicional de sofisticación, lo que permite a los actores de amenazas llegar a un grupo más amplio de víctimas potenciales. Al aprovechar estos motores de búsqueda populares, los atacantes aumentan la probabilidad de atraer a los usuarios para que hagan clic en los enlaces de software fraudulentos, iniciando así el proceso de infección maliciosa.
El malware de nitrógeno se dirige a las víctimas de ubicaciones geográficas específicas
La campaña de Nitrogen Malware comienza cuando los usuarios realizan una búsqueda en Google o Bing de varias aplicaciones de software conocidas. Entre el software utilizado como cebo en esta campaña se encuentran AnyDesk (una aplicación de escritorio remoto), WinSCP (un cliente SFTP/FTP para Windows), Cisco AnyConnect (una suite VPN) y TreeSize Free (una calculadora y administrador de espacio en disco). La selección de señuelos de software se basa en los criterios de orientación de los atacantes.
Cuando un usuario busca cualquiera de estas aplicaciones de software, el motor de búsqueda respectivo muestra un anuncio que parece promocionar el producto de software exacto. Sin darse cuenta, los usuarios pueden hacer clic en estos anuncios aparentemente legítimos con la esperanza de descargar el software deseado.
Sin embargo, en lugar de llegar al sitio web genuino, el enlace redirige a los visitantes a páginas de alojamiento de WordPress comprometidas. Estas páginas están hábilmente diseñadas para imitar la apariencia de los sitios de descarga oficiales para la aplicación específica en cuestión.
Sin embargo, no todos son llevados a sitios web no seguros. Solo los visitantes de regiones geográficas específicas son redirigidos selectivamente a los sitios de phishing, lo que garantiza una mayor probabilidad de atraer a las víctimas potenciales de las áreas elegidas. Si alguien intenta llegar a las páginas abriendo directamente su enlace en lugar de ser llevado allí a través de un anuncio, será redirigido a un video de YouTube del clásico 'Never Gonna Give You Up' de Rick Astley, un movimiento conocido como rick-rolling.
El malware de nitrógeno probablemente se usó para enviar ransomware a dispositivos comprometidos
El software amenazante entregado desde los sitios falsos viene en forma de instaladores ISO troyanos llamados 'install.exe' que transportan y luego descargan un archivo DLL corrupto 'msi.dll' (NitrogenInstaller). Actúa como el instalador de Nitrogen Malware. Además, también configura la aplicación prometida para evitar levantar sospechas de las víctimas. El malware establece un mecanismo de persistencia mediante la creación de una clave de ejecución de registro 'Python' que se ejecuta en un intervalo de cinco minutos y apunta hacia un binario malicioso llamado 'pythonw.exe'.
El componente Python del malware, denominado 'python.311.dll' (NitrogenStager), se encarga de establecer la comunicación con el servidor de Comando y Control (C2) de los piratas informáticos. También inicia un shell Meterpreter y Cobalt Strike Beacons en la computadora de la víctima.
En ciertos casos, los atacantes participan en acciones prácticas una vez que se ejecuta el script Meterpreter en los sistemas objetivo. Usan comandos manuales para recuperar archivos ZIP adicionales y entornos de Python 3, que son necesarios para ejecutar Cobalt Strike en la memoria, ya que NitrogenStager en sí no puede ejecutar scripts de Python. La cadena de infección del malware Nitrogen apunta a la puesta en escena de los dispositivos comprometidos para el despliegue de las cargas útiles finales del ransomware.
