I ricercatori di Sophos hanno individuato una nuova campagna malware che sfrutta la tecnica nota come malvertising. Sfruttando le inserzioni pubblicitarie di Google e Bing, i cybercriminali distribuiscono Nitrogen, con il quale effettuano l’accesso iniziale ai computer. L’obiettivo finale è rubare i dati (cyberspionaggio) o installare un ransomware.
Nitrogen “pubblicizzato” da Google e Bing
La catena di infezione inizia con la visualizzazione di siti WordPress compromessi e pagine di phishing su Google e Bing (malvertising). Gli ignari utenti scaricano gli installer di note applicazioni, come AnyDesk, WinSCP e Cisco AnyConnect VPN, che in realtà contengono il file msi.dll
(NitrogenInstaller), ovvero l’installer del malware Nitrogen.
Insieme all’applicazione legittima vengono installati anche due pacchetti Python. Uno di essi contiene il file python310.dll
(NitrogenStager) che effettua la connessione al server C2 (command and control). NitrogenInstaller crea una chiave di registro per la persistenza (avvio automatico), mentre NitrogenStager scarica Meterpreter, una reverse shell TCP che consente ai cybercriminali di eseguire codice remoto.
In alcuni casi vengono scaricati script Python che caricano in memoria i beacon Cobalt Strike. Sophos ha bloccato l’attacco, quindi non è noto il successivo passo della catena di infezione. Secondo Trend Micro, i cybercriminali possono installare spyware o ransomware.
Un portavoce di Google ha dichiarato che le inserzioni fasulle sono state rimosse. La tecnica è tuttavia molto utilizzata dai cybercriminali. Sophos suggerisce di installare un ad-blocker per impedire la visualizzazione della pubblicità.