Gangue de ransomware mira em administradores do Windows via PuTTy

Imagem com logomarca do Windows com fundo branco

Uma operação de ransomware tem mirado em administradores de sistema do Windows, exibindo anúncios do Google para promover sites de download falsos de Putty e WinSCP. Para quem não sabe, WinSCP e Putty são utilitários populares do Windows, sendo WinSCP um cliente SFTP e cliente FTP e Putty um cliente SSH.

Ransomware mirando no Windows

Os administradores de sistema geralmente têm privilégios mais elevados em uma rede Windows, o que os torna alvos valiosos para agentes de ameaças que desejam se espalhar rapidamente por uma rede, roubar dados e obter acesso ao controlador de domínio de uma rede para implantar ransomware. Inclusive, de acordo com um relatório recente da Rapid7 (Via: Bleeping Computer), uma campanha de mecanismo de pesquisa exibiu anúncios de sites falsos de Putty e WinSCP ao pesquisar por download winscp ou download putty. Não está claro se esta campanha ocorreu no Google ou no Bing.

Esses anúncios usavam nomes de domínio de typosquatting como puutty.org, puutty[.]org, wnscp[.]net e vvinscp[.]net. Embora esses sites personificassem o site legítimo do WinSCP (winscp.net), os agentes da ameaça imitaram um site não afiliado do PuTTY (putty.org), que muitas pessoas acreditam ser o site real. O site oficial do PuTTY é na verdade https://www.chiark.greenend.org.uk/~sgtatham/putty/.

Esses sites incluem links para download que, quando clicados, irão redirecioná-lo para sites legítimos ou baixar um arquivo ZIP dos servidores do agente da ameaça, com base no fato de você ter sido encaminhado por um mecanismo de pesquisa ou outro site na campanha. Os arquivos ZIP baixados contêm um executável Setup.exe , que é um executável renomeado e legítimo para Python para Windows ( pythonw.exe ), e um arquivo python311.dll malicioso.

gangue-de-ransomware-mira-em-administradores-do-windows-via-putty

As informações apontam que, quando o executável pythonw.exe for iniciado, ele tentará iniciar um arquivo python311.dll legítimo. No entanto, os agentes da ameaça substituíram esta DLL por uma versão maliciosa carregada usando DLL Sideloading. Quando um usuário executa o Setup.exe, pensando que está instalando o PuTTY ou o WinSCP, ele carrega a DLL maliciosa, que extrai e executa um script Python criptografado.

Este script instalará o kit de ferramentas pós-exploração Sliver , uma ferramenta popular usada para acesso inicial a redes corporativas. De acordo com o Rapid7, o ator da ameaça usou o Sliver para lançar remotamente outras cargas úteis, incluindo beacons Cobalt Strike. O hacker usou esse acesso para exfiltrar dados e tentar implantar um criptografador de ransomware.

Embora o Rapid7 tenha compartilhado detalhes limitados sobre o ransomware, os pesquisadores dizem que a campanha é semelhante às vistas pela Malwarebytes e pela Trend Micro, que implantaram o agora desativado ransomware BlackCat/ALPHV.