勒索软件团伙通过 Google 搜索引擎广告来传播 Putty 和 WinSCP 的虚假下载网站,针对Windows系统管理员。
WinSCP 和 Putty 是流行的 Windows 实用程序,其中 WinSCP 是 SFTP 客户端和 FTP 客户端,Putty 是 SSH 客户端。
系统管理员通常在 Windows 网络上拥有更高的权限,这使得他们成为想要通过网络快速传播、窃取数据以及访问网络域控制器以部署勒索软件。
Rapid7 最近的一份报告(https://www.rapid7.com/blog/post/2024/05/13/ongoing-malvertising-campaign-leads-to-ransomware/)称,搜索引擎活动在搜索 “下载 WinSCP” 或 “下载 Putty”时会显示假冒 Putty 和 WinSCP 网站的广告。
这些广告使用了易混淆的相似域名,例如 puutty.org、puutty[.]org、wnscp[.]net 和 vvinscp[.]net。
这些网站包含下载链接,单击这些链接后,这些链接会引导受害者从攻击者的服务器下载 ZIP 存档。
假冒 Putty 下载网站推送木马安装程序,来源:Rapid7
下载的 ZIP 存档包含一个 Setup.exe 可执行文件(它是 Windows 版 Python 的重命名且合法的可执行文件 ( pythonw.exe ))和一个恶意 python311.dll 文件。
当 pythonw.exe 可执行文件启动时,它将尝试启动合法的 python311.dll 文件。攻击者使用 DLL 旁加载加载的恶意版本替换了该 DLL。
当用户运行Setup.exe时,认为它正在安装PuTTY或WinSCP,它会加载恶意DLL,该DLL会提取并执行加密的Python脚本。
该脚本最终将安装 Sliver 后利用工具包,这是一种用于初始访问公司网络的流行工具。
Rapid7 表示,攻击者使用 Sliver 远程投放更多有效负载,包括 Cobalt Strike 信标。黑客利用此访问权限窃取数据并尝试部署勒索软件加密器。
攻击链
虽然 Rapid7 分享了有关勒索软件的有限细节,但研究人员表示,该活动与Malwarebytes 和趋势科技发现的活动类似 ,后者部署了现已关闭的 BlackCat/ALPHV 勒索软件。
Rapid7 的 Tyler McGraw 解释说:“在最近的一次事件中,Rapid7 观察到攻击者试图使用备份实用程序 Restic 窃取数据,然后部署勒索软件,但这一尝试最终在执行过程中被阻止。”
“Rapid7 观察到的相关技术、策略和程序 (TTP) 让人想起趋势科技去年报告的过去的 BlackCat/ALPHV 活动。”
在过去的几年中,搜索引擎广告已成为一个大问题, 许多攻击者利用它们来推送恶意软件和网络钓鱼网站。
这些广告针对流行程序,包括 Keepass、CPU-Z、 Notepad++、Grammarly、MSI Afterburner、Slack、Dashlane、 7-Zip、CCleaner、VLC、Malwarebytes、Audacity、μTorrent、OBS、Ring、AnyDesk、Libre Office、Teamviewer、 Thunderbird 和 Brave。
参考链接:https://www.bleepingcomputer.com/news/security/ransomware-gang-targets-windows-admins-via-putty-winscp-malvertising/
本文暂时没有评论,来添加一个吧(●'◡'●)