据bleepingcomputer网5月18日报道,勒索软件将目标瞄准window系统管理员,通过投放 Google 广告来宣传 Putty 和 WinSCP的虚假下载网站,进而发动潜在攻击。
WinSCP 和 Putty 是流行的 Windows 实用程序,WinSCP 是 SFTP 客户端,FTP 客户端和 Putty 是 SSH 客户端。由于系统管理员通常在 Windows 网络上拥有更高的权限,这使他们成为希望通过网络快速传播、窃取数据并访问网络域控制器以部署勒索软件的威胁参与者的重要目标。
在Rapid7 最近发布的一份报告中,在搜索下载 winscp 或下载 putty 时,搜索引擎活动显示了虚假 Putty 和 WinSCP 网站的广告。目前尚不清楚该活动是在谷歌还是必应上进行的。
这些广告使用了 puutty.org、puutty等域名。虽然这些网站冒充了 WinSCP (winscp.net) 的合法网站,但威胁行为者模仿了 PuTTY (putty.org) 的非附属网站,让许多人认为这是真实的网站。
这些网站包括下载链接,单击这些链接后,下载的 ZIP 存档包含一个Setup.exe可执行文件,它是 Python for Windows (pythonw.exe) 的重命名和合法可执行文件,以及一个恶意python311.dll文件。启动pythonw.exe可执行文件时,它将尝试启动合法的python311.dll文件。但是,威胁参与者使用DLL旁加载将此DLL替换为加载的恶意版本。
当用户运行Setup.exe时,认为它正在安装 PuTTY 或 WinSCP,它会加载恶意 DLL,该 DLL 提取并执行加密的 Python 脚本。此脚本最终将安装 Sliver 开发后工具包,这是一种用于初始访问公司网络的常用工具。
在过去的几年里,搜索引擎广告已成为一个大问题,许多威胁行为者利用它们来推送恶意软件和网络钓鱼网站。
(编译:andy)
本文暂时没有评论,来添加一个吧(●'◡'●)