Вредонос прячется в PuTTY и WinSCP — через рекламу и SEO-ловушки

Вредонос прячется в PuTTY и WinSCP — через рекламу и SEO-ловушки

Вредонос прячется в PuTTY и WinSCP — через рекламу и SEO-ловушки

Исследователи из Arctic Wolf обнаружили опасную кампанию, нацеленную на айтишников и системных администраторов, которые скачивают утилиты вроде PuTTY и WinSCP. Только вот вместо легальных программ — троянизированные версии с бэкдорами, а всё начинается с обычного поиска в Bing или Google.

Злоумышленники используют методы SEO и вредоносную рекламу (malvertising), чтобы продвигать фейковые сайты, которые выглядят как официальные страницы известных инструментов. Кликаешь на ссылку — и оказываешься на поддельном сайте, где вместо PuTTY тебе подсовывают вредоносный инсталлятор.

После запуска такая «утилита» устанавливает бэкдор — Oyster или Broomstick, — который открывает хакерам доступ к системе:

  • кража данных
  • перемещение внутри сети
  • установка другого вредоноса

Как зловред закрепляется в системе

Для устойчивости бэкдор создаёт запланированную задачу, которая срабатывает каждые 3 минуты и запускает DLL-файл twain_96.dll через rundll32.exe. Это старый трюк с DLL-регистрацией, но всё ещё рабочий — и вполне эффективный.

 

Что делать

Arctic Wolf предупреждает: пока подтверждены только PuTTY и WinSCP, но этот же подход легко применим к другим популярным утилитам. Поэтому:

  • Не скачивайте админские инструменты через поисковики. Только официальные сайты или внутренние репозитории.

  • Обучите ИТ-персонал: любые подозрительные сайты, даже «очень похожие», могут быть ловушкой.

  • Добавьте в блок-листы фальшивые домены, связанные с кампанией (см. ниже).

  • Обновите политики безопасности: в том числе про установку ПО и источники загрузки.

IOC — домены, которые нужно заблокировать:

  • updaterputty[.]com
  • zephyrhype[.]com
  • putty[.]run
  • putty[.]bet
  • puttyy[.]org

Отгрузки «Группы Астра» за полугодие выросли до 7,3 млрд рублей

«Группа Астра» подвела итоги по отгрузкам за второй квартал и первое полугодие 2026 года. За шесть месяцев показатель вырос на 26% год к году и достиг 7,3 млрд рублей. Во втором квартале динамика ускорилась: отгрузки увеличились на 41% по сравнению с аналогичным периодом прошлого года.

В компании связывают рост с расширением бизнеса, увеличением клиентской базы и развитием продуктовой линейки. При этом «Астра» напоминает о сезонности: традиционно около 70% годовых отгрузок приходится на второе полугодие.

Во втором квартале компания отметила несколько крупных проектов. «Магнит» начал внедрение платформы GitFlic для работы с кодом и процессами разработки. Московский метрополитен переводит платежное оборудование на Astra Linux. «Ростелеком» завершил перевод разработки учебных курсов на платформу «Линда» от Knomary, входящей в «Группу Астра». «Северсталь» внедрила Astra Automation для управления разнородной ИТ-инфраструктурой.

За квартал «Группа Астра» выпустила 13 релизов продуктов. Среди них — новая версия Astra Linux 1.8.5, платформа Astra Dev Platform для организации цикла разработки приложений, облако Astra Cloud на отечественном технологическом стеке и третье поколение машин баз данных Tantor XData.

Также компания продолжила развивать программу технологического партнерства Ready for Astra. К концу первого полугодия 2026 года в ней участвовало более 1540 партнеров, а число совместимых решений превысило 4500.

Из корпоративных событий компания выделила одобренный советом директоров buyback. Обратный выкуп рассчитан на 12 месяцев или до достижения лимита в 4 млн акций, что составляет около 2% уставного капитала. Также «Группа Астра» выплатила дивиденды за 2025 год — 982 млн рублей, или 4,68 рубля на акцию.

В конце мая компания приобрела 26% разработчика ИИ «АИБ» и запустила центр компетенций «Астра ИИ». Финансовые результаты по МСФО за первое полугодие компания планирует раскрыть 27 августа.

RSS: Новости на портале Anti-Malware.ru