Исследователи из Arctic Wolf обнаружили опасную кампанию, нацеленную на айтишников и системных администраторов, которые скачивают утилиты вроде PuTTY и WinSCP. Только вот вместо легальных программ — троянизированные версии с бэкдорами, а всё начинается с обычного поиска в Bing или Google.
Злоумышленники используют методы SEO и вредоносную рекламу (malvertising), чтобы продвигать фейковые сайты, которые выглядят как официальные страницы известных инструментов. Кликаешь на ссылку — и оказываешься на поддельном сайте, где вместо PuTTY тебе подсовывают вредоносный инсталлятор.
После запуска такая «утилита» устанавливает бэкдор — Oyster или Broomstick, — который открывает хакерам доступ к системе:
- кража данных
- перемещение внутри сети
- установка другого вредоноса
Как зловред закрепляется в системе
Для устойчивости бэкдор создаёт запланированную задачу, которая срабатывает каждые 3 минуты и запускает DLL-файл twain_96.dll через rundll32.exe. Это старый трюк с DLL-регистрацией, но всё ещё рабочий — и вполне эффективный.
Что делать
Arctic Wolf предупреждает: пока подтверждены только PuTTY и WinSCP, но этот же подход легко применим к другим популярным утилитам. Поэтому:
-
Не скачивайте админские инструменты через поисковики. Только официальные сайты или внутренние репозитории.
-
Обучите ИТ-персонал: любые подозрительные сайты, даже «очень похожие», могут быть ловушкой.
-
Добавьте в блок-листы фальшивые домены, связанные с кампанией (см. ниже).
-
Обновите политики безопасности: в том числе про установку ПО и источники загрузки.
IOC — домены, которые нужно заблокировать:
updaterputty[.]comzephyrhype[.]computty[.]runputty[.]betputtyy[.]org
