Logiciel malveillant d'azote

Les chercheurs ont découvert une première campagne de logiciels malveillants d'accès qu'ils suivent sous le nom de "Nitrogen". Les cybercriminels utilisent les annonces de recherche Google et Bing pour promouvoir des sites Web de logiciels contrefaits afin d'infecter des victimes sans méfiance. Les utilisateurs qui visitent ces sites sans le savoir sont victimes du déploiement de la menace Cobalt Strike et des charges utiles du ransomware.

L'objectif principal derrière le logiciel malveillant Nitrogen est d'offrir aux acteurs de la menace un point d'entrée initial dans les réseaux d'entreprise. Une fois infiltrés, les acteurs malveillants acquièrent la capacité de voler des données, de se livrer au cyberespionnage et, finalement, de déclencher le destructeur BlackCat/ALPHV Ransomware .

Une analyse approfondie de la campagne Nitrogen a révélé ses principales cibles, qui englobent principalement la technologie et les organisations à but non lucratif situées en Amérique du Nord. Les attaquants exécutent leur stratagème en se faisant passer pour des fournisseurs de logiciels réputés comme AnyDesk, Cisco AnyConnect VPN, TreeSize Free et WinSCP. Cette tactique trompeuse trompe les utilisateurs en leur faisant croire qu'ils accèdent à un logiciel authentique, pour ensuite être exposés aux périls du malware Nitrogen.

L'utilisation des annonces de recherche Google et Bing dans cette campagne ajoute une couche de sophistication supplémentaire, permettant aux acteurs de la menace d'atteindre un plus large éventail de victimes potentielles. En tirant parti de ces moteurs de recherche populaires, les attaquants augmentent la probabilité d'inciter les utilisateurs à cliquer sur les liens logiciels frauduleux, initiant ainsi le processus d'infection malveillante.

Le logiciel malveillant Nitrogen cible les victimes à partir d'emplacements géographiques spécifiques

La campagne Nitrogen Malware commence lorsque les utilisateurs effectuent une recherche Google ou Bing pour diverses applications logicielles bien connues. Parmi les logiciels utilisés comme appâts dans cette campagne figurent AnyDesk (une application de bureau à distance), WinSCP (un client SFTP/FTP pour Windows), Cisco AnyConnect (une suite VPN) et TreeSize Free (un calculateur et gestionnaire d'espace disque). La sélection des leurres logiciels est basée sur les critères de ciblage des attaquants.

Lorsqu'un utilisateur recherche l'une de ces applications logicielles, le moteur de recherche respectif affiche une publicité qui semble promouvoir le produit logiciel exact. À leur insu, les utilisateurs peuvent cliquer sur ces publicités apparemment légitimes, dans l'espoir de télécharger le logiciel souhaité.

Cependant, au lieu d'atteindre le site Web authentique, le lien redirige les visiteurs vers des pages d'hébergement WordPress compromises. Ces pages sont habilement conçues pour imiter l'apparence des sites de téléchargement officiels pour l'application spécifique en question.

Cependant, tout le monde n'est pas redirigé vers des sites Web dangereux. Seuls les visiteurs de régions géographiques spécifiques sont redirigés de manière sélective vers les sites de phishing, ce qui garantit une plus grande chance d'attirer des victimes potentielles dans les zones choisies. Si quelqu'un essaie d'accéder aux pages en ouvrant directement son lien au lieu d'y être redirigé via une publicité, il sera redirigé vers une vidéo YouTube du classique "Never Gonna Give You Up" de Rick Astley - un mouvement connu sous le nom de rick-rolling.

Le logiciel malveillant Nitrogen a probablement été utilisé pour fournir un ransomware à des appareils compromis

Le logiciel menaçant fourni par les faux sites se présente sous la forme d'installateurs ISO contenant des chevaux de Troie nommés "install.exe" qui transportent puis chargent un fichier DLL corrompu "msi.dll" (NitrogenInstaller). Il agit en tant qu'installateur pour Nitrogen Malware. De plus, il met également en place l'application promise pour éviter d'éveiller les soupçons des victimes. Le logiciel malveillant établit un mécanisme de persistance en créant une clé d'exécution de registre "Python" qui s'exécute à un intervalle de cinq minutes et pointe vers un binaire malveillant nommé "pythonw.exe".

Le composant Python du malware, appelé 'python.311.dll' (NitrogenStager), se charge d'établir la communication avec le serveur Command-and-Control (C2) des pirates. Il lance également un obus Meterpreter et des balises Cobalt Strike sur l'ordinateur de la victime.

Dans certains cas, les attaquants s'engagent dans des actions pratiques une fois que le script Meterpreter est exécuté sur les systèmes ciblés. Ils utilisent des commandes manuelles pour récupérer des fichiers ZIP supplémentaires et des environnements Python 3, qui sont nécessaires pour exécuter Cobalt Strike en mémoire, car le NitrogenStager lui-même ne peut pas exécuter de scripts Python. La chaîne d'infection du logiciel malveillant Nitrogen indique que les appareils compromis sont préparés pour le déploiement des charges utiles finales du logiciel de rançon.