Studiuesit e Sophos kanë identifikuar një fushatë të re malware që përdor një teknikë të njohur si malvertising. Duke përdorur reklama nga Google dhe Bing, kriminelët kibernetikë shpërndajnë Nitrogen, me të cilin bëjnë akses fillestar në kompjuterë. Qëllimi përfundimtar është vjedhja e të dhënave (spiunazh kibernetik) ose instalimi i ransomware.
Nitrogen i “reklamuar” nga Google dhe Bing
Zinxhiri i infeksionit fillon me shikimin e faqeve të komprometuara të WordPress dhe faqeve të phishing në Google dhe Bing (keqvertifikim). Përdoruesit që nuk dyshojnë shkarkojnë instaluesit e aplikacioneve të njohura, si AnyDesk, WinSCP dhe Cisco AnyConnect VPN, të cilët në fakt përmbajnë skedarin msi.dll (NitrogenInstaller), d.m.th. instaluesin e malware-it Nitrogen.
Së bashku me aplikacionin legjitim janë instaluar edhe dy paketa Python. Njëri prej tyre përmban skedarin python310.dll (NitrogenStager) i cili lidhet me serverin C2 (komandë dhe kontroll). NitrogenInstaller krijon një çelës regjistri për qëndrueshmëri (autostart), ndërsa NitrogenStager shkarkon Meterpreter, një guaskë e kundërt TCP që lejon kriminelët kibernetikë të ekzekutojnë kodin në distancë.
Në disa raste, skriptet Python shkarkohen që ngarkojnë beacons Cobalt Strike në memorie. Sophos bllokoi sulmin, kështu që hapi tjetër në zinxhirin e infeksionit nuk dihet. Sipas Trend Micro, kriminelët kibernetikë mund të instalojnë spyware ose ransomware.
Një zëdhënës i Google tha se reklamat false janë hequr. Megjithatë, teknika përdoret gjerësisht nga kriminelët kibernetikë. Sophos sugjeron instalimin e një bllokuesi reklamash për të parandaluar shfaqjen e reklamave.
Discussion about this post