Как избежать заражения через рекламные объявления в поисковой строке?
Эксперты в сфере кибербезопасности изSophosнедавно выявилиновую вредоносную кампанию под названием Nitrogen, цель которой — получение первоначального доступа к корпоративным сетям жертв. Для распространения вредоносного ПО злоумышленники используют контекстную рекламу в интернет-поисковикахGoogleи Bing.
Пользователю, ищущему популярные программы вродеAnyDesk(удалённый рабочий стол),AnyConnect(VPN-клиент),TreeSize Free(калькулятор дискового пространства) илиWinSCP(SFTP/FTP-клиент), в выдаче показывается реклама, ведущая на фейковые сайты, где, как предполагается, можно скачать нужное человеку ПО.
После перехода по рекламной ссылке жертве предлагается скачать вредоносныйISO-образ, маскирующийся под установщик легитимной программы. Этот образ содержит в себе троян, который тайно устанавливает на компьютер зловредный модуль NitrogenInstaller.
NitrogenInstaller выполняет несколько задач. Во-первых, он устанавливает на компьютер жертвы обещанное в рекламе ПО, чтобы не вызвать никаких подозрений. Во-вторых, он создаёт запись в реестре для автозапуска вредоносного модуля «pythonw.exe» каждые 5 минут.
Файл «pythonw.exe», в свою очередь, запускает в памяти ещё один вредоносный компонент — NitrogenStager. Именно он отвечает за связь с C2-сервером злоумышленников, а также загрузку на заражённую систему программыCobalt Strikeдля удалённого администрирования.
По данным компании Sophos, после получения контроля над компьютером жертвы, хакеры в ряде случаев вручную загружали дополнительные вредоносные модули и среду выполненияPython. Всё это необходимо для запуска Cobalt Strike непосредственно в оперативной памяти.
Исследователи Sophos пока не выяснили конечную цель злоумышленников из-за своевременного обнаружения и блокировки атак. Однако похожая техника ранее уже использовалась для подготовки сети компании к заражению вымогательским ПО.
В частности, специалистыTrend Microв конце июнязафиксировали случай, когда атака Nitrogen с эксплуатацией доброго имени программы WinSCP привела к заражению компьютеров жертвы вымогателем BlackCat.
По мнению экспертов, пользователям следует с осторожностью относиться к контекстной рекламе в поисковиках при загрузке программного обеспечения. Стоит взять за правило всегда сверять домен перед переходом на целевую страницу, потому что принцип «самая первая ссылка и есть официальная» работает далеко не всегда.
Также стоит насторожиться, если ПО распространяется в виде ISO-образа. Такая техника доставки нехарактерна для легальных Windows-приложений, которые обычно поставляются в виде ZIP-архивов или исполняемых файлов с расширениями EXE и MSI.
Хакеры постоянно совершенствуют методы социальной инженерии, чтобы обмануть бдительность пользователей. Поэтому крайне важно быть осторожным при работе в интернете и не вестись на их уловки.