WinSCP和Putty是受欢迎的Windows应用程序,WinSCP是SFTP客户端和FTP客户端,而Putty是SSH客户端。
系统管理员通常对Windows网络拥有更高程度的权力,从而使他们成为威胁分子的主要目标,这些威胁分子希望通过网络使用敲诈软件,以便迅速传播、窃取数据和接触网络域控制器。
敲诈软件业务通过张贴Google广告,从而促进Putty和WinSCP的虚假下载网站,从而针对Windows系统管理员。
最近一份报告指出,搜索引擎活动在寻找 " 下载WinSCP " 或 " 下载Putty " 时,在Putty和WinSCP网站上显示虚假广告,目前尚不清楚该运动是在Google上还是在Bing上。
这些广告使用错误的域名,如puty.org、putty[ ]或g、wnscp[ ]净额和vvinscp[ ]净额。
虽然这些网站被假冒成Winscp.net, 但威胁分子模仿PutTy的不相干网站(putty. org),
PuTTY的官方网站实际上是https://www.chiark.greenend.org.uk/~sgtatham/putty/。这些网站包含下载链接,点击这些链接后,将引导您到合法网站,或从恶意者的服务器上下载ZIP档案,这取决于用户是否使用搜索引擎或为此推荐的其他网站。
令人着迷的平板下载网站以发送马的安装器
下载的 ZIP 归档包含一个设置. exe 执行可执行文件( Windows (pythonw. exe) 的 Python 和法律可执行文件) 和一个恶意 python311. dll 文件 。
当 pythonw. exe 执行文件启动时, 它会尝试激活有效的 python311. dll 文件。 但是, DLL 会被一个恶意版本替换, 可能会被 DLL 装入 DLL 。 当用户运行 setup. exe 时, 假设它正在安装 PutTy 或 WinSCP, 这将装入 mairign DL, 这将提取并执行加密的 Python 脚本 。
Silver使用工具包后,最终将安装该脚本,该工具箱是最初进入企业网络的常用工具。威胁分子使用Silver远程交付更多的有效载荷,包括钴撞击信标。
黑客利用这个权限窃取数据 并试图使用勒索软件加密装置
事件期间所看到的攻击过程
报告机构只披露了有关敲诈软件的有限细节,但研究人员指出,这项活动与Malwarebytes和Trend Micro公司观察到的活动相似,后者使用了现在关闭的BlackCat/ALPHV勒索软件。
在最近的一起事件中,人们注意到,威胁分子利用备用实用程序Restic窃取数据并随后使用敲诈软件的企图在执行过程中最终停止了。
在过去几年中,搜索引擎广告已成为一个重大问题,许多威胁因素利用搜索引擎推动恶意软件和网络捕捞网站。
这些广告面向大众,包括Kepass、CPU-Z、Notepad+++、语法、MSSI Afterburner、Slack、Dashlane、7-Zip、CCleaner、VLC、Malwarebytes、Audity、li Torrent、OBS、Ring、AnyDesk、Libre Office、Teamviewer、Thunderbird和Brave。
最近,一名威胁分子删除了Google广告,其中载有加密货币交易平台鲸鱼市场的法律网址。
然而,该广告导致建立了一个网上捕鱼网站,其中载有一个加密取款程序,用于从来访者那里窃取加密货币。
注册有任何问题请添加 微信:MVIP619 拉你进入群
打开微信扫一扫
添加客服
进入交流群
发表评论