Allarme Nitrogen: il ransomware diffuso tramite Google Ads

La campagna malware Nitrogen agisce attraverso annunci Google e Bing: ecco come funziona e come evitare rischi.
Marco Ponteprino
Pubblicato il 27 lug 2023
Allarme Nitrogen: il ransomware diffuso tramite Google Ads
pixabay.com

Poche ore fa, Sophos ha pubblicato un rapporto sulla campagna malware Nitrogen, descrivendo i dettagli di diffusione di questo agente malevolo. Si parla di un malware che, a quanto pare, è in grado di sfruttare gli annunci a pagamento dei più diffusi motori di ricerca (Google e Bing) per diffondersi.

Gli annunci pubblicitari in questione, infatti, propongono software famosi, portando gli utenti su siti Web malevoli. L’obiettivo della campagna è fornire ai cybercriminali l’accesso a reti aziendali, consentendo agli stessi di agire attraverso il furto di dati, spionaggio informatico e, infine, distribuire il ransomware BlackCat/ALPHV.

Stando ai ricercatori, l’attività di Nitrogen si rivolge principalmente alla tecnologia e alle organizzazioni no-profit in Nord America, impersonando software popolari. Trend Micro è stata la prima azienda a documentare questa attività all’inizio del mese, individuando annunci WinSCP.

Tuttavia, tale rapporto si concentrava sulla fase post-infezione e mancava di dati riguardanti IoC (indicatori di compromissione) poiché si basava su un singolo caso esaminato.

Nitrogen cattura le potenziali vittime tramite pubblicità di Google e Bing

La campagna di Nitrogen inizia con un utente che esegue una ricerca su Google o Bing per varie applicazioni software popolari. Tra le applicazioni utilizzate come esca per la campagna del malware vi sono:

  • AnyDesk, applicazione per la gestione di un ambiente desktop da remoto;
  • WinSCP, client SFTP/FTP per Windows;
  • Cisco AnyConnect, suite VPN;
  • TreeSize Free, calcolatore e gestore dello spazio su disco.

A seconda dei criteri di targeting, il motore di ricerca visualizzerà un annuncio pubblicitario che promuove il software ricercato. Facendo clic sul collegamento, il visitatore viene indirizzato a pagine di hosting WordPress compromesse che imitano i siti di download dei suddetti programmi.

Solo i visitatori di specifiche aree geografiche vengono reindirizzati ai siti di phishing, mentre l’accesso diretto agli URL dannosi attiva invece un reindirizzamento ad alcuni video di YouTube.​

Come evitare Nitrogen?

Così come tante altre campagne malware, anche Nitrogen può essere evitato con un’adeguata strategia di difesa.

Ovviamente, la prudenza appare come di vitale importanza. Prima di eseguire un download di qualunque file, è bene appurare da dove si sta scaricando lo stesso: per questo motivo, è bene accertarsi sempre di interagire con il sito ufficiale dell’applicazione prima di scaricare la stessa.

Come è logico poi, adottare un antivirus e altri strumenti di difesa può offrire ulteriori certezze.

Ti consigliamo anche

GitHub: scoperti 3.000 account che diffondono malware
Vulnerabilità

GitHub: scoperti 3.000 account che diffondono malware
Hamster Kombat, rischio malware per milioni di videogiocatori
Vulnerabilità

Hamster Kombat, rischio malware per milioni di videogiocatori
EvilVideo, l'exploit zero-day Telegram sfruttato per nascondere malware
Vulnerabilità

EvilVideo, l'exploit zero-day Telegram sfruttato per nascondere malware
Google Play Store, scansione malware: Play Protect migliora ancora
Sicurezza

Google Play Store, scansione malware: Play Protect migliora ancora
Link copiato negli appunti