勒索软件团伙通过 PuTTy、WinSCP 虚假广告下载瞄准 Windows 管理员

admin 2024年5月20日22:51:03评论16 views字数 1524阅读5分4秒阅读模式

导 

勒索软件团伙通过 Google搜索引擎广告来传播 Putty 和 WinSCP 的虚假下载网站,针对Windows系统管理员。

WinSCP 和 Putty 是流行的 Windows 实用程序,其中 WinSCP 是 SFTP 客户端和 FTP 客户端,Putty 是 SSH 客户端。

系统管理员通常在 Windows 网络上拥有更高的权限,这使得他们成为想要通过网络快速传播、窃取数据以及访问网络域控制器以部署勒索软件。

Rapid7 最近的一份报告(https://www.rapid7.com/blog/post/2024/05/13/ongoing-malvertising-campaign-leads-to-ransomware/)称,搜索引擎活动在搜索 “下载 WinSCP” 或 “下载 Putty”时会显示假冒 Putty 和 WinSCP 网站的广告。

这些广告使用了易混淆的相似域名,例如 puutty.org、puutty[.]org、wnscp[.]net 和 vvinscp[.]net。

这些网站包含下载链接,单击这些链接后,这些链接会引导受害者从攻击者的服务器下载 ZIP 存档。

勒索软件团伙通过 PuTTy、WinSCP 虚假广告下载瞄准 Windows 管理员

假冒 Putty 下载网站推送木马安装程序,来源:Rapid7

下载的 ZIP 存档包含一个 Setup.exe 可执行文件(它是 Windows 版 Python 的重命名且合法的可执行文件 ( pythonw.exe ))和一个恶意 python311.dll 文件。

当 pythonw.exe 可执行文件启动时,它将尝试启动合法的 python311.dll 文件。攻击者使用 DLL 旁加载加载的恶意版本替换了该 DLL。

当用户运行Setup.exe时,认为它正在安装PuTTY或WinSCP,它会加载恶意DLL,该DLL会提取并执行加密的Python脚本。

该脚本最终将安装 Sliver 后利用工具包,这是一种用于初始访问公司网络的流行工具。

Rapid7 表示,攻击者使用 Sliver 远程投放更多有效负载,包括 Cobalt Strike 信标。黑客利用此访问权限窃取数据并尝试部署勒索软件加密器。

勒索软件团伙通过 PuTTy、WinSCP 虚假广告下载瞄准 Windows 管理员

攻击链

虽然 Rapid7 分享了有关勒索软件的有限细节,但研究人员表示,该活动与Malwarebytes 和趋势科技发现的活动类似 ,后者部署了现已关闭的 BlackCat/ALPHV 勒索软件。

Rapid7 的 Tyler McGraw 解释说:“在最近的一次事件中,Rapid7 观察到攻击者试图使用备份实用程序 Restic 窃取数据,然后部署勒索软件,但这一尝试最终在执行过程中被阻止。”

“Rapid7 观察到的相关技术、策略和程序 (TTP) 让人想起趋势科技去年报告的过去的 BlackCat/ALPHV 活动。”

在过去的几年中,搜索引擎广告已成为一个大问题, 许多攻击者利用它们来推送恶意软件和网络钓鱼网站。

这些广告针对流行程序,包括 Keepass、CPU-Z、Notepad++、Grammarly、MSI Afterburner、Slack、Dashlane、7-Zip、CCleaner、VLC、Malwarebytes、Audacity、μTorrent、OBS、Ring、AnyDesk、Libre Office、Teamviewer、 Thunderbird和 Brave。

参考链接:https://www.bleepingcomputer.com/news/security/ransomware-gang-targets-windows-admins-via-putty-winscp-malvertising/

勒索软件团伙通过 PuTTy、WinSCP 虚假广告下载瞄准 Windows 管理员

扫码关注

会杀毒的单反狗

讲述普通人能听懂的安全故事

原文始发于微信公众号(会杀毒的单反狗):勒索软件团伙通过 PuTTy、WinSCP 虚假广告下载瞄准 Windows 管理员

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月20日22:51:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   勒索软件团伙通过 PuTTy、WinSCP 虚假广告下载瞄准 Windows 管理员https://cn-sec.com/archives/2757868.html

发表评论

匿名网友 填写信息