Nitrogen, il malware che sfrutta Google Ads e Bing per diffondersi

Il team di ricerca Sophos  ha pubblicato un rapporto  sulla campagna malware Nitrogen, che sta prendendo di mira principalmente organizzazioni in Nord America, spacciando payload nascosti in software popolari come AnyDesk, Cisco AnyConnect VPN, TreeSize Free e WinSCP. Il malware Nitrogen fornirebbe agli attaccanti l’accesso iniziale alle reti aziendali, consentendo loro di condurre furti di dati, spionaggio informatico e distribuire anche il ransomware BlackCat/ALPHV (come documentato lo scorso mese da TrendMicro).

Come avviene l’infezione

Tutto inizia quando si esegue una ricerca su Google o Bing per varie applicazioni software popolari. In base ai criteri di targeting, il motore di ricerca visualizzerà un annuncio pubblicitario che promuove il software ricercato.

(Fonte Sophos)

Facendo click sul collegamento, il visitatore verrebbe quindi indirizzato a pagine di phishing WordPress che imitano i siti di download dei software legittimi ricercati. Da questi falsi siti, gli utenti scaricherebbero file ISO trojanizzati (install.exe), che contengono e trasferiscono una DLL dannosa (msi.dll).

La catena d’infezione (Fonte Sophos)
  • msi.dll installa il malware di accesso iniziale Nitrogen “NitrogenInstaller”, l’app legittima per evitare sospetti e un pacchetto Python dannoso. NitrogenInstaller crea anche una chiave di registro denominata “Python” per la persistenza, che punta a un binario dannoso (“pythonw.exe”) eseguito ogni cinque minuti.
  • Il pacchetto Python eseguirà “NitrogenStager” (“python.311.dll”), per stabilire la comunicazione con il server C2 e lanciare una shell Meterpreter e un Beacon Cobalt Strike sul sistema della vittima.

Raccomandazioni

Si consiglia di scaricare i software solo dai siti ufficiali, evitando il download tramite i risultati proposti dai motori di ricerca e di prestare attenzione a qualsiasi download che propini file ISO, .zip, .rar, .vhd, e .img per il software.

IoC

Un set completo di indicatori di compromissione correlati è disponibile su GitHub.

Su Salvatore Lombardo 315 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.