Наблюдавана е нова кампания за злонамерена реклама, която използва реклами в Google Search и Bing, за да се насочи към потребители, търсещи ИТ инструменти като AnyDesk, Cisco AnyConnect VPN и WinSCP, и да ги подмами да изтеглят троянски инсталатори с цел пробив в корпоративните мрежи и вероятно извършване на бъдещи атаки с откуп.

Наречена Nitrogen, „опортюнистичната“ дейност е предназначена за разгръщане на инструменти за атаки на втори етап като Cobalt Strike, заяви Sophos в анализ от сряда.

Nitrogen е документиран за първи път от eSentire през юни 2023 г., като подробно е описана верига на заразяване, която пренасочва потребителите към компрометирани WordPress сайтове, хостващи злонамерени ISO файлове с изображения, които в крайна сметка завършват с доставката на Python скриптове и Cobalt Strike маяци върху целевата система.

След това по-рано този месец Trend Micro разкри подобна последователност от атаки, при която измамно приложение WinSCP функционира като стъпало за атака с рансъмуер BlackCat.

„По време на цялата верига на заразяване участниците в заплахата използват необичайни техники за препращане на експорти и предварително зареждане на DLL, за да прикрият зловредната си дейност и да затруднят анализа“, казват изследователите на Sophos Габор Шапанос, Морган Дембоски и Бенджамин Солман.

След като бъдат стартирани, скриптовете на Python създават обратна TCP обвивка на Meterpreter, като по този начин позволяват на участниците в заплахата да изпълняват отдалечено код на заразения хост, както и да изтеглят Cobalt Strike Beacon, за да улеснят последващото експлоатиране.

„Злоупотребата с платени реклами, показвани в резултатите от търсачките, се превърна в популярна тактика сред  заплахите“, казват изследователите. „Tе се опитват да хвърлят широка мрежа, за да примамят нищо неподозиращи потребители, търсещи определени ИТ услуги.“

Констатациите идват и на фона на рязкото увеличаване на броя на киберпрестъпниците, които използват платени реклами, за да привличат потребителите към злонамерени сайтове и да ги подмамват да изтеглят различни зловредни програми, като BATLOADER, EugenLoader (известен още като FakeBat) и IcedID, които след това се използват за разпространение на крадци на информация и други полезни товари.

За да влоши положението, Sophos заяви, че е открила на известни криминални пазари „значителен брой реклами и дискусии за SEO отравяне, злонамерена реклама и свързани с тях услуги“, както и продавачи, предлагащи компрометирани акаунти в Google Ads.

Това илюстрира, че „потребителите на пазарите проявяват голям интерес към SEO отравянето и злонамерената реклама“ и че „също така отрича трудността на опитите да се заобиколят филтрите за електронна поща и да се убедят потребителите да кликнат върху връзка или да изтеглят и отворят прикачен файл“.