Поддельные PuTTY и WinSCP – хакеры маскируют вредонос через поисковики

Эксперты в сфере кибербезопасности из компании Arctic Wolf выявили новую вредоносную кампанию, нацеленную на администраторов и ИТ-специалистов. Преступники распространяют подделки популярных утилит PuTTY и WinSCP через поисковые системы и вредоносную рекламу, подсовывая пользователям заражённые версии программ.

Атака начинается с того, что человек ищет нужную утилиту в Google или Bing. Злоумышленники заранее создают поддельные сайты, оформленные так, будто это официальные страницы разработчиков. Эти сайты выводятся в верхние строки результатов поиска с помощью SEO-оптимизации и платных объявлений. Один клик — и на компьютер скачивается «инсталлятор», который вместо настоящего ПО запускает троян с бэкдором.

Как показал анализ, вредонос внедряет в систему инструменты вроде Oyster и Broomstick, обеспечивающие злоумышленникам постоянный доступ. Среди возможностей — сбор данных, установка дополнительных вредоносов и движение внутри корпоративной сети. Чтобы закрепиться в системе, троян создаёт задачу, запускаемую каждые три минуты, через rundll32.exe, с подгрузкой DLL-файла twain_96.dll. Этот способ далеко не новый, но всё ещё работает.

На текущий момент подтверждено заражение только через поддельные PuTTY и WinSCP, но эксперты предупреждают: аналогичная схема может быть использована для любого популярного ИТ-инструмента.