Кибервымогатели заманивают Windows-админов рекламой PuTTy, WinSCP

Екатерина Быстрова 20 Мая 2024 - 11:07

Домашние пользователи

Малый и средний бизнес

...

Группа кибервымогателей атакует системных администраторов, управляющих компьютерами на Windows. В качестве приманки злоумышленники размещают рекламу софта Putty и WinSCP в Google.

Утилиты WinSCP и Putty знакомы каждому сисадмину. Первая является SFTP- и FTP-клиентом, а вторая помогает подключаться к серверам по SSH.

Поскольку зачастую администраторы располагают более высокими правами в сетях Windows, киберпреступники выбирают именно их в качестве мишени. Пробив одного из таких админов, атакующий получает возможность передвигаться по сети, красть данные и разворачивать вредоносные программы.

Свежий отчёт от исследователей из компании Rapid7 как раз описывают одну из таких кампаний. Злоумышленники размещают в Google рекламу фейковых сайтов разработчиков Putty и WinSCP, которые должны выводиться по запросу «скачать winscp» или «скачать putty».

В кампании также можно наблюдать классический приём тайпсквоттинга: кибервымогатели используют домены, напоминающие официальные ресурсы (puutty.org, puutty[.]org, wnscp[.]net и vvinscp[.]net).

На упомянутых сайтах присутствуют ссылки, которые либо перенаправляют посетителя на легитимные ресурсы, либо загружают ZIP-архив.

В архиве лежит исполняемый файл Setup.exe — переименованный и вполне безобидный pythonw.exe. Но помимо него, там можно найти вредоносную библиотеку python311.dll.

При запуске pythonw.exe исполняшка пытается подгрузить легитимную библиотеку python311.dll, но вместо неё подхватывается вредоносная. В результате администратор получает в систему тулкит Sliver (на днях рассказывали про macOS-версию этого вредоноса).

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 30 Апреля 2025 - 13:12

Уязвимости программ Домашние пользователи Google

Google Chrome 136 устраняет опасную уязвимость: обновитесь как можно скорее

Команда разработчиков Google Chrome выпустила стабильную версию браузера под номером 136 для Windows, macOS и Linux. Вроде бы очередное «техническое» обновление, но есть важная причина не откладывать его установку — в новой версии закрыли сразу восемь уязвимостей, включая одну очень серьёзную.

Главная звезда (и одновременно тревожный сигнал) в списке — CVE-2025-4096, уязвимость высокой степени риска в HTML-движке Chrome.

В двух словах: это heap overflow (переполнение буфера), которое может возникнуть при обработке веб-страниц. Если злоумышленник грамотно воспользуется этой брешью, он сможет выполнить произвольный код на вашем компьютере. То есть буквально получить доступ к системе. Неудивительно, что Google заплатила $5000 исследователю, который её обнаружил.

Апдейт также закрывает несколько менее опасных, но всё равно важных проблем:

CVE-2025-4050 — ошибка с выходом за границы памяти в DevTools (средняя опасность);
CVE-2025-4051 — недостаточная проверка данных в DevTools (тоже средней степени);
CVE-2025-4052 — некорректная реализация одной из функций (низкая опасность).

Что делать?

Обновиться как можно скорее! Обычно Chrome обновляется сам, но лучше перепроверить:

Откройте chrome://settings/help — и убедитесь, что у вас стоит последняя версия.

Google, кстати, намеренно не раскрывает технические детали уязвимостей до тех пор, пока большинство пользователей не установит патчи.