Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Nuevo malware Nitrogen se difunde a través de anuncios de Google y Bing para realizar ataques de ransomware


Una nueva campaña de malware de acceso inicial "Nitrogen" utiliza anuncios de búsqueda de Google y Bing para promocionar sitios de software falsos que infectan a usuarios desprevenidos con Cobalt Strike y cargas útiles de ransomware. El objetivo del malware Nitrogen es proporcionar a los actores de la amenaza acceso inicial a las redes corporativas, lo que les permite llevar a cabo el robo de datos, el ciberespionaje y, en última instancia, desplegar el ransomware BlackCat/ALPHV.






Una nueva campaña de malware de acceso inicial "Nitrogen" utiliza anuncios de búsqueda de Google y Bing para promocionar sitios de software falsos que infectan a usuarios desprevenidos con Cobalt Strike y cargas útiles de ransomware.

El objetivo del malware Nitrogen es proporcionar a los actores de la amenaza acceso inicial a las redes corporativas, lo que les permite llevar a cabo el robo de datos, el ciberespionaje y, en última instancia, desplegar el ransomware BlackCat/ALPHV.

Hoy, Sophos ha publicado un informe sobre la campaña Nitrogen, detallando cómo se dirige principalmente a organizaciones tecnológicas y sin ánimo de lucro en Norteamérica, haciéndose pasar por software popular como AnyDesk, Cisco AnyConnect VPN, TreeSize Free y WinSCP.

eSentire fue el primero en documentar la campaña Nitrogen a finales de junio, mientras que Trend Micro analizó la actividad posterior al compromiso de los anuncios de WinSCP que conducían a infecciones del ransomware BlackCat/ALPHV a principios de mes.

Sin embargo, ese informe se centraba en la etapa posterior a la infección y carecía de amplios IoC (Indicadores de Compromiso) debido a que se basaba en un único incidente de respuesta.
La campaña de malware Nitrogen

La campaña de malware Nitrogen comienza cuando una persona realiza una búsqueda en Google o Bing de varias aplicaciones de software populares.

Entre los programas vistos como señuelos para la campaña de malware Nitrogen se incluyen:

  • AnyDesk (aplicación de escritorio remoto)
  • WinSCP (cliente SFTP/FTP para Windows)
  • Cisco AnyConnect (suite VPN)
  • TreeSize Free (calculador y gestor de espacio en disco)


En función de los criterios de selección, el motor de búsqueda mostrará un anuncio que promociona el software buscado.

Al hacer clic en el enlace, el visitante es redirigido a páginas de alojamiento de WordPress comprometidas que imitan los sitios legítimos de descarga de software para la aplicación en cuestión.

Sólo los visitantes de determinadas regiones geográficas son redirigidos a los sitios de phishing, mientras que las visitas directas a las URL maliciosas provocan una redirección a vídeos de YouTube.

Desde esos sitios falsos, los usuarios descargan instaladores ISO troyanizados ("install.exe"), que contienen y cargan lateralmente un archivo DLL malicioso ("msi.dll").

El msi.dll es el instalador del malware de acceso inicial Nitrogen llamado internamente "NitrogenInstaller", que además instala la aplicación prometida para evitar sospechas y un paquete Python malicioso.



El NitrogenInstaller también crea una clave de ejecución en el registro llamada "Python" para que persista, apuntando a un binario malicioso ("pythonw.exe") que se ejecuta cada cinco minutos.



El componente Python ejecutará "NitrogenStager" ("python.311.dll"), que es responsable de establecer la comunicación con el C2 del actor de la amenaza y de lanzar un intérprete de comandos Meterpreter y balizas Cobalt Strike en el sistema de la víctima.

En algunos casos observados por los analistas de Sophos, los atacantes pasaron a la actividad práctica una vez ejecutado el script Meterpreter en el sistema objetivo, ejecutando comandos manuales para recuperar archivos ZIP adicionales y entornos Python 3.

Este último es necesario para ejecutar Cobalt Strike en memoria, ya que el NitrogenStager no puede ejecutar scripts Python.

Sophos dice que debido a la detección y detención con éxito de los ataques Nitrogen observados, no ha determinado el objetivo del actor de la amenaza, pero la cadena de infección apunta a la puesta en escena de los sistemas comprometidos para el despliegue del ransomware.

Sin embargo, Trend Micro había informado anteriormente de que esta cadena de ataque llevó al despliegue del ransomware BlackCat en al menos un caso.

Esta campaña no es la primera vez que las bandas de ransomware abusan de los anuncios de los motores de búsqueda para obtener acceso inicial a las redes corporativas, ya que las operaciones de ransomware Royal y Clop utilizaron esta táctica en el pasado.

Se recomienda a los usuarios que eviten hacer clic en los resultados "promocionados" de los motores de búsqueda cuando descarguen software y, en su lugar, descarguen únicamente desde el sitio oficial del desarrollador.

Además, desconfia de cualquier descarga que utilice archivos ISO para software, ya que es un método poco común para distribuir software legítimo de Windows, que normalmente viene como un archivo .exe o .zip.

Fuentes:

https://www.bleepingcomputer.com/news/security/new-nitrogen-malware-pushed-via-google-ads-for-ransomware-attacks/

https://news.sophos.com/en-us/2023/07/26/into-the-tank-with-nitrogen/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.