Клик не туда: хакеры продолжают маскировать трояны под легальный софт

Эксперты в сфере кибербезопасности из Sophos недавно выявили новую вредоносную кампанию под названием Nitrogen, цель которой — получение первоначального доступа к корпоративным сетям жертв. Для распространения вредоносного ПО злоумышленники используют контекстную рекламу в интернет-поисковиках Google и Bing.

Пользователю, ищущему популярные программы вроде AnyDesk (удалённый рабочий стол), AnyConnect (VPN-клиент), TreeSize Free (калькулятор дискового пространства) или WinSCP (SFTP/FTP-клиент), в выдаче показывается реклама, ведущая на фейковые сайты, где, как предполагается, можно скачать нужное человеку ПО.

После перехода по рекламной ссылке жертве предлагается скачать вредоносный ISO -образ, маскирующийся под установщик легитимной программы. Этот образ содержит в себе троян, который тайно устанавливает на компьютер зловредный модуль NitrogenInstaller.

NitrogenInstaller выполняет несколько задач. Во-первых, он устанавливает на компьютер жертвы обещанное в рекламе ПО, чтобы не вызвать никаких подозрений. Во-вторых, он создаёт запись в реестре для автозапуска вредоносного модуля «pythonw.exe» каждые 5 минут.

Файл «pythonw.exe», в свою очередь, запускает в памяти ещё один вредоносный компонент — NitrogenStager. Именно он отвечает за связь с C2-сервером злоумышленников, а также загрузку на заражённую систему программы Cobalt Strike для удалённого администрирования.

По данным компании Sophos, после получения контроля над компьютером жертвы, хакеры в ряде случаев вручную загружали дополнительные вредоносные модули и среду выполнения Python . Всё это необходимо для запуска Cobalt Strike непосредственно в оперативной памяти.

Исследователи Sophos пока не выяснили конечную цель злоумышленников из-за своевременного обнаружения и блокировки атак. Однако похожая техника ранее уже использовалась для подготовки сети компании к заражению вымогательским ПО.

В частности, специалисты Trend Micro в конце июня зафиксировали случай , когда атака Nitrogen с эксплуатацией доброго имени программы WinSCP привела к заражению компьютеров жертвы вымогателем BlackCat.

По мнению экспертов, пользователям следует с осторожностью относиться к контекстной рекламе в поисковиках при загрузке программного обеспечения. Стоит взять за правило всегда сверять домен перед переходом на целевую страницу, потому что принцип «самая первая ссылка и есть официальная» работает далеко не всегда.

Также стоит насторожиться, если ПО распространяется в виде ISO-образа. Такая техника доставки нехарактерна для легальных Windows-приложений, которые обычно поставляются в виде ZIP-архивов или исполняемых файлов с расширениями EXE и MSI.

Хакеры постоянно совершенствуют методы социальной инженерии, чтобы обмануть бдительность пользователей. Поэтому крайне важно быть осторожным при работе в интернете и не вестись на их уловки.