Los caminos de los ciberdelincuentes son inescrutables. Algunos están dispuestos a pagar una pequeña suma y usar métodos legales para dirigir a los usuarios a contenidos que no lo son tanto.
La compañía de seguridad Sophos ha alertado sobre una campaña de malware denominada Nitrogen, por la cual los cibermalos se sirven de anuncios en las búsquedas de motores como Google y Bing. Su fin último es promocionar sitios webs falsos que infectan a usuarios desprevenidos con cargas útiles de Cobalt Strike y ransomware.
El malware Nitrogen otorgaría a los actores de amenazas acceso inicial a las redes corporativas, pudiendo realizar robos de datos, ciberespionaje y hasta implementar el conocido y peligroso ransomware BlackCat/ ALPHV.
En el informe de Sophos se indica cómo la campaña Nitrogen apunta contra organizaciones tecnológicas y sin fines de lucro de Norteamérica. Además, se detalla cómo se hace pasar por software popular, como AnyDesk, Cisco AnyConnect VPN, TreeSize Free y WinSCP.
La infección, en pasos
Cualquier persona que use los populares motores de búsqueda de Google o Microsoft puede estar expuesta a la amenaza.
Según se hace eco Bleeping Computer, la campaña arranca cuando una persona introduce un término referente a los citados programas de software. Según los criterios de orientación, el buscador mostrará un anuncio para promocionar estas herramientas, publicidades por las que pagan los cibermalos.
Al pinchar en el enlace del anuncio los visitantes acceden a páginas de alojamiento de WordPress comprometidas que imitan los sitios de descarga de software legítimos.
Únicamente los visitantes de regiones geográficas específicas son redirigidos a los sitios de phishing, mientras que los accesos directos a las URL maliciosas desencadenan una redirección a vídeos de YouTube.
Desde los sitios falsos los usuarios descargan instaladores ISO troyanizados (install.exe) que contienen y descargan un archivo DLL malicioso. Este último es el instalador para el malware de acceso inicial Nitrogen.