勒索软件团伙通过 PuTTy、WinSCP 虚假广告下载瞄准 Windows 管理员

勒索软件团伙通过 Google搜索引擎广告来传播 Putty 和 WinSCP 的虚假下载网站，针对Windows系统管理员。

WinSCP 和 Putty 是流行的 Windows 实用程序，其中 WinSCP 是 SFTP 客户端和 FTP 客户端，Putty 是 SSH 客户端。

系统管理员通常在 Windows 网络上拥有更高的权限，这使得他们成为想要通过网络快速传播、窃取数据以及访问网络域控制器以部署勒索软件。

Rapid7 最近的一份报告（https://www.rapid7.com/blog/post/2024/05/13/ongoing-malvertising-campaign-leads-to-ransomware/）称，搜索引擎活动在搜索 “下载 WinSCP” 或 “下载 Putty”时会显示假冒 Putty 和 WinSCP 网站的广告。

这些广告使用了易混淆的相似域名，例如 puutty.org、puutty[.]org、wnscp[.]net 和 vvinscp[.]net。

这些网站包含下载链接，单击这些链接后，这些链接会引导受害者从攻击者的服务器下载 ZIP 存档。

假冒 Putty 下载网站推送木马安装程序，来源：Rapid7

下载的 ZIP 存档包含一个 Setup.exe 可执行文件（它是 Windows 版 Python 的重命名且合法的可执行文件 ( pythonw.exe )）和一个恶意 python311.dll 文件。

当 pythonw.exe 可执行文件启动时，它将尝试启动合法的 python311.dll 文件。攻击者使用 DLL 旁加载加载的恶意版本替换了该 DLL。

当用户运行Setup.exe时，认为它正在安装PuTTY或WinSCP，它会加载恶意DLL，该DLL会提取并执行加密的Python脚本。

该脚本最终将安装 Sliver 后利用工具包，这是一种用于初始访问公司网络的流行工具。

Rapid7 表示，攻击者使用 Sliver 远程投放更多有效负载，包括 Cobalt Strike 信标。黑客利用此访问权限窃取数据并尝试部署勒索软件加密器。

攻击链

虽然 Rapid7 分享了有关勒索软件的有限细节，但研究人员表示，该活动与Malwarebytes 和趋势科技发现的活动类似 ，后者部署了现已关闭的 BlackCat/ALPHV 勒索软件。

Rapid7 的 Tyler McGraw 解释说：“在最近的一次事件中，Rapid7 观察到攻击者试图使用备份实用程序 Restic 窃取数据，然后部署勒索软件，但这一尝试最终在执行过程中被阻止。”

“Rapid7 观察到的相关技术、策略和程序 (TTP) 让人想起趋势科技去年报告的过去的 BlackCat/ALPHV 活动。”

在过去的几年中，搜索引擎广告已成为一个大问题， 许多攻击者利用它们来推送恶意软件和网络钓鱼网站。

这些广告针对流行程序，包括 Keepass、CPU-Z、Notepad++、Grammarly、MSI Afterburner、Slack、Dashlane、7-Zip、CCleaner、VLC、Malwarebytes、Audacity、μTorrent、OBS、Ring、AnyDesk、Libre Office、Teamviewer、 Thunderbird和 Brave。

参考链接：https://www.bleepingcomputer.com/news/security/ransomware-gang-targets-windows-admins-via-putty-winscp-malvertising/

讲述普通人能听懂的安全故事