Хакеры продолжают маскировать трояны под легальный софт

[Artifact]

Как избежать заражения через рекламные объявления в поисковой строке?
Эксперты в сфере кибербезопасности из Sophos недавно выявили новую вредоносную кампанию под названием Nitrogen, цель которой — получение первоначального доступа к корпоративным сетям жертв. Для распространения вредоносного ПО злоумышленники используют контекстную рекламу в интернет-поисковиках Google и Bing.
Пользователю, ищущему популярные программы вроде AnyDesk (удалённый рабочий стол), AnyConnect (VPN-клиент), TreeSize Free (калькулятор дискового пространства) или WinSCP (SFTP/FTP-клиент), в выдаче показывается реклама, ведущая на фейковые сайты, где, как предполагается, можно скачать нужное человеку ПО.
После перехода по рекламной ссылке жертве предлагается скачать вредоносный ISO-образ, маскирующийся под установщик легитимной программы. Этот образ содержит в себе троян, который тайно устанавливает на компьютер зловредный модуль NitrogenInstaller.
NitrogenInstaller выполняет несколько задач. Во-первых, он устанавливает на компьютер жертвы обещанное в рекламе ПО, чтобы не вызвать никаких подозрений. Во-вторых, он создаёт запись в реестре для автозапуска вредоносного модуля «pythonw.exe» каждые 5 минут.
Файл «pythonw.exe», в свою очередь, запускает в памяти ещё один вредоносный компонент — NitrogenStager. Именно он отвечает за связь с C2-сервером злоумышленников, а также загрузку на заражённую систему программы Cobalt Strike для удалённого администрирования.
По данным компании Sophos, после получения контроля над компьютером жертвы, хакеры в ряде случаев вручную загружали дополнительные вредоносные модули и среду выполнения Python. Всё это необходимо для запуска Cobalt Strike непосредственно в оперативной памяти.
Исследователи Sophos пока не выяснили конечную цель злоумышленников из-за своевременного обнаружения и блокировки атак. Однако похожая техника ранее уже использовалась для подготовки сети компании к заражению вымогательским ПО.
В частности, специалисты Trend Micro в конце июня зафиксировали случай , когда атака Nitrogen с эксплуатацией доброго имени программы WinSCP привела к заражению компьютеров жертвы вымогателем BlackCat.
По мнению экспертов, пользователям следует с осторожностью относиться к контекстной рекламе в поисковиках при загрузке программного обеспечения. Стоит взять за правило всегда сверять домен перед переходом на целевую страницу, потому что принцип «самая первая ссылка и есть официальная» работает далеко не всегда.
Также стоит насторожиться, если ПО распространяется в виде ISO-образа. Такая техника доставки нехарактерна для легальных Windows-приложений, которые обычно поставляются в виде ZIP-архивов или исполняемых файлов с расширениями EXE и MSI.
Хакеры постоянно совершенствуют методы социальной инженерии, чтобы обмануть бдительность пользователей. Поэтому крайне важно быть осторожным при работе в интернете и не вестись на их уловки.