Il team di ricerca Sophos ha pubblicato un rapporto sulla campagna malware Nitrogen, che sta prendendo di mira principalmente organizzazioni in Nord America, spacciando payload nascosti in software popolari come AnyDesk, Cisco AnyConnect VPN, TreeSize Free e WinSCP. Il malware Nitrogen fornirebbe agli attaccanti l’accesso iniziale alle reti aziendali, consentendo loro di condurre furti di dati, spionaggio informatico e distribuire anche il ransomware BlackCat/ALPHV (come documentato lo scorso mese da TrendMicro).
Come avviene l’infezione
Tutto inizia quando si esegue una ricerca su Google o Bing per varie applicazioni software popolari. In base ai criteri di targeting, il motore di ricerca visualizzerà un annuncio pubblicitario che promuove il software ricercato.
Facendo click sul collegamento, il visitatore verrebbe quindi indirizzato a pagine di phishing WordPress che imitano i siti di download dei software legittimi ricercati. Da questi falsi siti, gli utenti scaricherebbero file ISO trojanizzati (install.exe), che contengono e trasferiscono una DLL dannosa (msi.dll).
- msi.dll installa il malware di accesso iniziale Nitrogen “NitrogenInstaller”, l’app legittima per evitare sospetti e un pacchetto Python dannoso. NitrogenInstaller crea anche una chiave di registro denominata “Python” per la persistenza, che punta a un binario dannoso (“pythonw.exe”) eseguito ogni cinque minuti.
- Il pacchetto Python eseguirà “NitrogenStager” (“python.311.dll”), per stabilire la comunicazione con il server C2 e lanciare una shell Meterpreter e un Beacon Cobalt Strike sul sistema della vittima.
Raccomandazioni
Si consiglia di scaricare i software solo dai siti ufficiali, evitando il download tramite i risultati proposti dai motori di ricerca e di prestare attenzione a qualsiasi download che propini file ISO, .zip, .rar, .vhd, e .img per il software.
IoC
Un set completo di indicatori di compromissione correlati è disponibile su GitHub.