圈小蛙
一个勒索软件团伙以使用Windows操作系统的网站管理员为目标,通过Google广告推广Putty和WinSCP的虚假下载网站。
对于网站管理员而言,WinSCP和Putty是常用的Windows实用程序,其中WinSCP是SFTP客户端和FTP客户端,Putty是SSH客户端。
系统管理员通常在Windows网络上拥有较高的权限(administrator),这使得他们成为想要通过网络快速传播、窃取数据以及访问网络域控制器以部署勒索软件的威胁行为者的宝贵目标。
Rapid7最近的一份报告称,当用户在搜索“下载WinSCP”或“下载Putty”时,搜索引擎会显示假冒Putty和WinSCP网站的广告。目前尚不清楚该恶意活动是在Google还是Bing上进行。
这些广告使用了假冒(typosquatting)域名,例如puutty[.]org、wnscp[.]net和vvinscp[.]net。
这些网站假冒了WinSCP的合法网站(winscp.net),还模仿了PuTTY的非官方网站(putty.org),许多人认为该网站才是真正的网站。PuTTY的官方网站实际上是https://www.chiark.greenend.org.uk/~sgtatham/putty/。
这些网站包含下载链接,点击后会将您重定向到合法网站,或者根据您是由搜索引擎还是活动中的其他网站推荐,从威胁行为者的服务器下载ZIP压缩包。
下载的ZIP压缩包包含一个Setup.exe可执行文件(它是Python for Windows(pythonw.exe)的重命名且合法的可执行文件),以及一个恶意的名为python311.dll文件。
当pythonw.exe可执行文件启动时,它将尝试启动合法的python311.dll文件。然而,威胁方使用DLL Sideloading将该DLL替换为恶意版本加载。
当用户运行Setup.exe时,认为它正在安装PuTTY或WinSCP,它会加载恶意DLL,该DLL会提取并执行加密的Python脚本。
该脚本最终将安装Sliver后利用工具包,这是一种用于初始访问企业网络的流行工具。
Rapid7表示,威胁行为者使用Sliver远程投放更多有效负载,包括Cobalt Strike。黑客利用此访问权限窃取数据,并尝试部署勒索软件加密器。
虽然Rapid7分享了有关勒索软件的有限细节,但研究人员表示,该活动与Malwarebytes和趋势科技(TrendMicro)发现的活动类似,它们部署了现已关闭的BlackCat/ALPHV勒索软件。
Rapid7的Tyler McGraw解释说:“在最近的一次事件中,Rapid7观察到威胁行为者试图使用备份工具Restic窃取数据,然后部署勒索软件,但这一尝试最终在执行过程中被阻止。”
“Rapid7观察到的相关技术、策略和程序(TTP)让人想起趋势科技去年报告的过去的BlackCat/ALPHV活动。”
在过去的几年中,搜索引擎广告已成为一个大问题,许多威胁行为者利用它们来推送恶意软件和钓鱼网站。
这些广告针对流行程序,包括Keepass、CPU-Z、Notepad++、Grammarly、MSIAfterburner、Slack、Dashlane、7-Zip、CCleaner、VLC、Malwarebytes、Audacity、μTorrent、OBS、Ring、AnyDesk、LibreOffice、Teamviewer、Thunderbird和Brave。
最近,一个威胁行为者在谷歌广告中加入了加密货币交易平台Whales Market的合法URL。然而,该广告却指向了一个钓鱼网站,其中包含一个用于窃取访问者加密货币的加密诱导程序。