Cyberthreat.id - Kampanye malvertising baru telah diamati dengan memanfaatkan iklan di Google Search dan Bing menargetkan pengguna yang mencari alat IT seperti AnyDesk, Cisco AnyConnect VPN, dan WinSCP.

Pencari alat IT tersebut dikelabui agar mengunduh penginstal trojan dengan tujuan menembus jaringan perusahaan dan kemungkinan melakukan serangan ransomware di masa mendatang.

“Dijuluki Nitrogen, aktivitas "oportunistik" ini dirancang untuk menggunakan alat serangan tahap kedua seperti Cobalt Strike,” kata Sophos dalam analisis hari Rabu yang dipublis The Hacker News.

Nitrogen pertama kali didokumentasikan oleh eSentire pada Juni 2023, merinci rantai infeksi yang mengarahkan pengguna ke situs WordPress yang disusupi yang menghosting file gambar ISO berbahaya yang pada akhirnya berujung pada pengiriman skrip Python dan Cobalt Strike Beacons ke sistem yang ditargetkan.

Kemudian awal bulan ini, Trend Micro mengungkap urutan serangan serupa di mana aplikasi WinSCP palsu berfungsi sebagai batu loncatan untuk serangan ransomware BlackCat.

"Di sepanjang rantai infeksi, pelaku ancaman menggunakan teknik penerusan ekspor dan prapemuatan DLL yang tidak biasa untuk menutupi aktivitas jahat mereka dan menghalangi analisis," kata peneliti Sophos Gabor Szappanos, Morgan Demboski, dan Benjamin Sollman.

Skrip Python, setelah diluncurkan, membuat shell TCP terbalik Meterpreter, sehingga memungkinkan pelaku ancaman untuk mengeksekusi kode dari jarak jauh pada host yang terinfeksi, serta mengunduh Cobalt Strike Beacon untuk memfasilitasi pasca-eksploitasi.

“Penyalahgunaan iklan bayar per klik yang ditampilkan di hasil mesin pencari telah menjadi taktik populer di kalangan pelaku ancaman,” kata para peneliti. "Aktor ancaman mencoba memasang jaring yang luas untuk memikat pengguna yang tidak menaruh curiga mencari utilitas TI tertentu."

Temuan ini juga datang dengan latar belakang lonjakan penjahat dunia maya yang menggunakan iklan berbayar untuk memikat pengguna ke situs berbahaya dan mengelabui mereka agar mengunduh berbagai malware seperti BATLOADER, EugenLoader (alias FakeBat), dan IcedID, yang kemudian digunakan untuk menyebarkan informasi. pencuri dan muatan lainnya.

Lebih buruk lagi, Sophos mengatakan menemukan di pasar kriminal terkemuka "sejumlah besar iklan untuk, dan diskusi tentang, keracunan SEO, malvertising, dan layanan terkait" serta penjual yang menawarkan akun Google Ads yang disusupi.

Ini mengilustrasikan bahwa "pengguna pasar sangat tertarik pada peracunan SEO dan malvertising" dan bahwa "itu juga meniadakan kesulitan untuk mencoba melewati filter email dan meyakinkan pengguna untuk mengeklik tautan atau mengunduh dan membuka lampiran."[]