勒索软件团伙通过 PuTTy、WinSCP 虚假广告下载瞄准 Windows 管理员

勒索软件团伙通过 Google 搜索引擎广告来传播 Putty 和 WinSCP 的虚假下载网站,针对Windows系统管理员。

WinSCP 和 Putty 是流行的 Windows 实用程序,其中 WinSCP 是 SFTP 客户端和 FTP 客户端,Putty 是 SSH 客户端。

系统管理员通常在 Windows 网络上拥有更高的权限,这使得他们成为想要通过网络快速传播、窃取数据以及访问网络域控制器以部署勒索软件。

Rapid7 最近的一份报告称,搜索引擎活动在搜索 “下载 WinSCP” 或 “下载 Putty”时会显示假冒 Putty 和 WinSCP 网站的广告。

这些广告使用了易混淆的相似域名,例如 puutty.org、puutty[.]org、wnscp[.]net 和 vvinscp[.]net。

这些网站包含下载链接,单击这些链接后,这些链接会引导受害者从攻击者的服务器下载 ZIP 存档。

微信图片_20240520110932

假冒 Putty 下载网站推送木马安装程序

下载的 ZIP 存档包含一个 Setup.exe 可执行文件(它是 Windows 版 Python 的重命名且合法的可执行文件 ( pythonw.exe ))和一个恶意 python311.dll 文件。

当 pythonw.exe 可执行文件启动时,它将尝试启动合法的 python311.dll 文件。攻击者使用 DLL 旁加载加载的恶意版本替换了该 DLL。

当用户运行Setup.exe时,认为它正在安装PuTTY或WinSCP,它会加载恶意DLL,该DLL会提取并执行加密的Python脚本。

该脚本最终将安装 Sliver 后利用工具包,这是一种用于初始访问公司网络的流行工具。

Rapid7 表示,攻击者使用 Sliver 远程投放更多有效负载,包括 Cobalt Strike 信标。黑客利用此访问权限窃取数据并尝试部署勒索软件加密器。

微信图片_20240520111013

攻击链

虽然 Rapid7 分享了有关勒索软件的有限细节,但研究人员表示,该活动与Malwarebytes 和趋势科技发现的活动类似 ,后者部署了现已关闭的 BlackCat/ALPHV 勒索软件。

Rapid7 的 Tyler McGraw 解释说:“在最近的一次事件中,Rapid7 观察到攻击者试图使用备份实用程序 Restic 窃取数据,然后部署勒索软件,但这一尝试最终在执行过程中被阻止。”

“Rapid7 观察到的相关技术、策略和程序 (TTP) 让人想起趋势科技去年报告的过去的 BlackCat/ALPHV 活动。”

在过去的几年中,搜索引擎广告已成为一个大问题, 许多攻击者利用它们来推送恶意软件和网络钓鱼网站。

这些广告针对流行程序,包括 Keepass、CPU-Z、  Notepad++、Grammarly、MSI Afterburner、Slack、Dashlane、 7-Zip、CCleaner、VLC、Malwarebytes、Audacity、μTorrent、OBS、Ring、AnyDesk、Libre Office、Teamviewer、 Thunderbird 和 Brave。


转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/wdmVhgYz__iF2KJiyvMq6w

© 版权声明
THE END
你的支持是我们在网空安全路上的驱动力!
点赞6 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码

    暂无评论内容