本文来自微信公众号“嘶吼专业版”,作者/胡金鱼。
WinSCP和Putty是流行的Windows实用程序,其中WinSCP是SFTP客户端和FTP客户端,而Putty是SSH客户端。
系统管理员通常在Windows网络上拥有更高的权限,这使得他们成为想要通过网络快速传播、窃取数据以及访问网络域控制器以部署勒索软件的威胁分子的首要目标。
勒索软件操作通过投放Google广告来推广Putty和WinSCP的虚假下载网站,从而将目标锁定在Windows系统管理员身上。
最近的一份报告称,搜索引擎活动在搜索“下载WinSCP”或“下载Putty”时会显示假冒Putty和WinSCP网站的广告。目前尚不清楚该活动是在Google还是Bing上进行。
这些广告使用了误植域名,例如puutty.org、puutty[.]org、wnscp[.]net和vvinscp[.]net。
虽然这些网站冒充了WinSCP的合法网站(winscp.net),但威胁分子模仿了PuTTY的无关联网站(putty.org),使许多人认为这是真正的网站。
PuTTY的官方网站实际上是https://www.chiark.greenend.org.uk/~sgtatham/putty/。这些网站包含下载链接,点击后,会将您重定向到合法网站或从恶意分子的服务器下载ZIP存档,具体取决于用户是通过搜索引擎还是活动中的其他网站推荐的。
假冒Putty下载网站推送木马安装程序
下载的ZIP存档包含一个Setup.exe可执行文件(它是Python for Windows(pythonw.exe)的重命名且合法的可执行文件)和一个恶意python311.dll文件。
当pythonw.exe可执行文件启动时,它将尝试启动合法的python311.dll文件。然而,威胁分子使用DLL旁加载加载的恶意版本替换了该DLL。当用户运行Setup.exe时,认为它正在安装PuTTY或WinSCP,它会加载恶意DLL,该DLL会提取并执行加密的Python脚本。
该脚本最终将安装Sliver后利用工具包,这是一种用于初始访问企业网络的流行工具。威胁分子使用Sliver远程投放更多有效负载,包括Cobalt Strike信标。黑客利用此访问权限窃取数据并尝试部署勒索软件加密器。
此活动中看到的攻击流程
报告机构只透露了有关勒索软件的有限细节,但研究人员表示,该活动与Malwarebytes和Trend Micro发现的活动类似,后者部署了现已关闭的BlackCat/ALPHV勒索软件。
在最近的一次事件中,可以观察到威胁分子试图使用备份实用程序Restic窃取数据,然后部署勒索软件,这一尝试最终在执行过程中被阻止。
在过去的几年中,搜索引擎广告已成为一个大问题,许多威胁分子利用它们来推送恶意软件和网络钓鱼网站。
这些广告针对流行程序,包括Keepass、CPU-Z、Notepad++、Grammarly、MSI Afterburner、Slack、Dashlane、7-Zip、CCleaner、VLC、Malwarebytes、Audacity、μTorrent、OBS、Ring、AnyDesk、Libre Office、Teamviewer、Thunderbird和Brave。
最近,一名威胁分子分享了谷歌广告,其中包含加密货币交易平台Whales Market的合法URL。该广告导致了一个包含加密货币删除程序的网络钓鱼网站,用于窃取访问者的加密货币。
