Uma operação de ransomware tem mirado em administradores de sistema do Windows, exibindo anúncios do Google para promover sites de download falsos de Putty e WinSCP. Para quem não sabe, WinSCP e Putty são utilitários populares do Windows, sendo WinSCP um cliente SFTP e cliente FTP e Putty um cliente SSH.
Ransomware mirando no Windows
Os administradores de sistema geralmente têm privilégios mais elevados em uma rede Windows, o que os torna alvos valiosos para agentes de ameaças que desejam se espalhar rapidamente por uma rede, roubar dados e obter acesso ao controlador de domínio de uma rede para implantar ransomware. Inclusive, de acordo com um relatório recente da Rapid7 (Via: Bleeping Computer), uma campanha de mecanismo de pesquisa exibiu anúncios de sites falsos de Putty e WinSCP ao pesquisar por download winscp ou download putty. Não está claro se esta campanha ocorreu no Google ou no Bing.
Esses anúncios usavam nomes de domínio de typosquatting como puutty.org, puutty[.]org, wnscp[.]net e vvinscp[.]net. Embora esses sites personificassem o site legítimo do WinSCP (winscp.net), os agentes da ameaça imitaram um site não afiliado do PuTTY (putty.org), que muitas pessoas acreditam ser o site real. O site oficial do PuTTY é na verdade https://www.chiark.greenend.org.uk/~sgtatham/putty/.
Notícias Relacionadas
Cibercriminosos usam mais de 3.000 contas do GitHub para distribuir malware
Cibercriminosos conhecidos como Stargazer Goblin criaram um malware Distribution-as-a-Service (DaaS) de mais de 3.000 contas falsas no GitHub que espalham malware para roubo de informações dos usuários da plataforma. Contas do GitHub usadas para distribuir malware O serviço de entrega de malware é chamado Stargazers Ghost Network e utiliza repositórios GitHub junto com sites WordPress […]
Grupo APT Daggerfly foi flagrado usando versão atualizada do backdoor do Macma macOS
O grupo de cibercriminosos APT Daggerfly, ligado à China, foi flagrado usando uma versão atualizada do backdoor do macOS Macma. O grupoatualizou significativamente seu arsenal de malware, adicionando uma nova família de malware. Versão atualizada do backdoor do Macma macOS é lançada pelo APT Daggerfly As informações de que o grupo de espionagem Daggerfly (também […]
Esses sites incluem links para download que, quando clicados, irão redirecioná-lo para sites legítimos ou baixar um arquivo ZIP dos servidores do agente da ameaça, com base no fato de você ter sido encaminhado por um mecanismo de pesquisa ou outro site na campanha. Os arquivos ZIP baixados contêm um executável Setup.exe , que é um executável renomeado e legítimo para Python para Windows ( pythonw.exe ), e um arquivo python311.dll malicioso.
As informações apontam que, quando o executável pythonw.exe for iniciado, ele tentará iniciar um arquivo python311.dll legítimo. No entanto, os agentes da ameaça substituíram esta DLL por uma versão maliciosa carregada usando DLL Sideloading. Quando um usuário executa o Setup.exe, pensando que está instalando o PuTTY ou o WinSCP, ele carrega a DLL maliciosa, que extrai e executa um script Python criptografado.
Este script instalará o kit de ferramentas pós-exploração Sliver , uma ferramenta popular usada para acesso inicial a redes corporativas. De acordo com o Rapid7, o ator da ameaça usou o Sliver para lançar remotamente outras cargas úteis, incluindo beacons Cobalt Strike. O hacker usou esse acesso para exfiltrar dados e tentar implantar um criptografador de ransomware.
Embora o Rapid7 tenha compartilhado detalhes limitados sobre o ransomware, os pesquisadores dizem que a campanha é semelhante às vistas pela Malwarebytes e pela Trend Micro, que implantaram o agora desativado ransomware BlackCat/ALPHV.
