黑客利用SEO投毒传播PuTTY和WinSCP木马版本，攻击针对IT专业人士

Arctic Wolf （北极狼）安全研究人员发现一种狡猾的网络安全威胁，攻击者利用搜索引擎优化 (SEO) 投毒和恶意广告策略来分发广泛使用的 IT 工具（如 PuTTY 和 WinSCP）的木马版本。

攻击活动针对 IT 专业人员和系统管理员，这些人依赖这些工具进行安全文件传输和远程系统管理。

恶意广告活动曝光

攻击者通过操纵搜索引擎结果并在 Bing 等平台上投放恶意赞助广告，创建了一个模仿合法来源的欺骗性虚假网站。

毫无戒心的用户从这些欺诈网站下载会无意中安装恶意软件，对个人系统和组织安全构成重大风险。

恶意网站托管了PuTTY和WinSCP的木马安装程序，这些安装程序在执行后会部署名为Oyster或Broomstick的后门。

这些后门允许攻击者未经授权访问受感染的系统，可能导致数据盗窃、网络内横向移动或进一步的恶意软件部署。

持久性机制解析

为了确保持久性，该恶意软件创建了每三分钟执行一次的计划任务，利用名为 twain_96.dll 的恶意 DLL 文件。

该 DLL 通过 rundll32.exe 使用 DllRegisterServer 导出执行，该技术滥用 DLL 注册过程以在受感染的系统上保持立足点。

虽然只有 PuTTY 和 WinSCP 被确认为此次攻击的目标，但 Arctic Wolf 警告称，其他 IT 工具也可能被用作类似攻击的武器，并敦促各方提高警惕。

单个受感染的系统可能成为更广泛的网络入侵的入口点，因此组织必须迅速采取行动。

Arctic Wolf 强烈建议IT 团队和用户避免依赖搜索引擎下载管理工具，建议仅从经过审查的内部存储库或直接从官方供应商网站获取软件。

新闻链接：

https://gbhackers.com/hackers-manipulate-search-results-to-target-it-pros/