Im Juli wurde eine neue Malvertising-Kampagne beobachtet, die Anzeigen in der Google-Suche und auf Bing nutzt, um User anzusprechen, die nach IT-Tools wie AnyDesk, Cisco AnyConnect VPN und WinSCP suchen. Die Anzeigen sollen die User dazu bringen, trojanische Installationsprogramme herunterzuladen, um in Unternehmensnetzwerke einzudringen und wahrscheinlich zukünftige Ransomware-Attacken auszuführen.

Die Ergebnisse sind auch vor dem Hintergrund zu sehen, dass Cyberkriminelle vermehrt bezahlte Werbung einsetzen, um Benutzer auf schädliche Websites zu locken und sie zum Herunterladen verschiedener Malware wie BATLOADER, EugenLoader (auch bekannt als FakeBat) und IcedID zu verleiten, die dann zur Verbreitung von Informationsdiebstahl und anderen Nutzdaten verwendet werden.

Die als Nitrogen bezeichnete "opportunistische" Aktivität zielt darauf ab, Angriffstools der zweiten Stufe wie Cobalt Strike einzusetzen. Nitrogen wurde erstmals im Juni 2023 von eSentire dokumentiert. Darin wird eine Infektionskette beschrieben, die Benutzer auf kompromittierte WordPress-Seiten umleitet, auf denen schädliche ISO-Image-Dateien gehostet werden, die schließlich in der Bereitstellung von Python-Skripten und Cobalt Strike Beacons auf dem Zielsystem gipfeln.

Anfang dieses Monats deckte Trend Micro eine ähnliche Angriffssequenz auf, bei der eine betrügerische WinSCP-Anwendung als Sprungbrett für einen BlackCat-Ransomware-Angriff diente.

Quelle: New Malvertising Campaign Distributing Trojanized IT Tools via Google and Bing Search Ads