SEO-ловушка: фейковые PuTTY и WinSCP распространяют бэкдор Oyster

Екатерина Быстрова 29 Июля 2025 - 12:39

...

SEO-ловушка: фейковые PuTTY и WinSCP распространяют бэкдор Oyster

Исследователи из Arctic Wolf зафиксировали новую волну атак с использованием фейковых установщиков популярных ИТ-инструментов вроде PuTTY и WinSCP. Вместо полезных утилит пользователи получают вредонос — бэкдор под названием Oyster (он же Broomstick или CleanupLoader). Кампания активно продвигается с помощью SEO и поддельной рекламы в поисковиках вроде Bing, а цель — в первую очередь системные администраторы и другие ИТ-специалисты.

Как происходит заражение

Пользователь ищет в поисковике нужную программу, кликает на ссылку — и попадает на сайт, который внешне не отличается от легитимного. Оттуда он скачивает вредоносный установщик (например, PuTTY-setup.exe), который после запуска устанавливает бэкдор и закрепляет его в системе.

Для этого создаётся задача планировщика, которая каждые три минуты запускает вредоносную DLL с помощью rundll32.exe. DLL-файлы могут называться, например, twain_96.dll или zqin.dll.

Как объясняют специалисты, после установки Oyster обеспечивает злоумышленнику удалённый доступ, собирает системную информацию, крадёт учётные данные, выполняет команды и может загружать дополнительные вредоносы — вплоть до шифровальщиков.

В июле исследователи из CyberProof зафиксировали реальный случай заражения: пользователь скачал фейковый PuTTY с сайта danielaurel.tv, файл был подписан отозванным сертификатом — это всё чаще встречается в подобных атаках. В этом случае атаку удалось остановить до того, как началась активная работа на заражённой машине, но инцидент показывает, насколько легко попасться.

Бэкдор не новенький

Oyster использовался и раньше — в 2023 году его распространяли под видом установщиков Chrome и Microsoft Teams. Тогда он также выступал в роли загрузчика для других вредоносов, в том числе шифровальщика Rhysida. Сейчас в ходу в основном фейковые версии PuTTY и WinSCP, но есть намёки, что в будущем может быть задействован и KeyPass.

Как защититься

Эксперты советуют отказаться от скачивания программ через поисковики. Лучше заходить на сайт разработчика напрямую или пользоваться внутренними репозиториями. Также рекомендуется блокировать известные вредоносные домены и отслеживать создание задач планировщика, в которых задействован rundll32.exe, — это один из признаков подобной активности.

Примеры вредоносных доменов и файлов:

Домен: updaterputty[.]com, zephyrhype[.]com, putty[.]run, putty[.]bet, puttyy[.]org
Хэши файлов (SHA256):
- 3d22a974677164d6bd7166e521e96d07cd00c884b0aeacb5555505c6a62a1c26
- a8e9f0da26a3d6729e744a6ea566c4fd4e372ceb4b2e7fc01d08844bfc5c3abb
- 3654c9585f3e86fe347b078cf44a35b6f8deb1516cdcd84e19bf3965ca86a95b
DLL: zqin.dll
IP-адреса: 194.213.18.89, 85.239.52.99

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 02 Октября 2025 - 09:22

Шпионские программы Программы слежения Домашние пользователи Корпорации

Глава Instagram* снова уверяет: Meta** не подслушивает вас через микрофон

Руководитель Instagram (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России) Адам Моссери решил в очередной раз развеять старый миф о том, что корпорация якобы тайно «подслушивает» пользователей через микрофоны смартфонов для вывода точечной рекламы.

По словам Моссери, эта теория заговора не раз всплывала в разговорах с друзьями и даже в семье — его собственная жена тоже задавалась вопросом, не подслушивает ли компания их телефон.

«Это было бы грубым нарушением приватности, да и пользователи сами заметили бы: загорелся бы индикатор или быстрее бы садилась батарея», — объяснил он.

Ирония в том, что слова Моссери прозвучали на фоне новости: Meta собирается собирать ещё больше данных о пользователях. Теперь компания планирует использовать информацию из взаимодействий людей с её ИИ-сервисами для таргетинга рекламы.

Иными словами: если раньше Meta не нужно было включать микрофон, чтобы угадывать ваши интересы, то теперь у неё появятся ещё более мощные инструменты. Ведь общаясь с чат-ботами, люди раскрывают куда больше деталей о своих увлечениях, идеях и планах.

Meta уже много лет официально отрицает «подслушку». В 2016-м компания выпустила заявление, что не использует микрофоны для таргетинга. Позже Марк Цукерберг лично говорил об этом в Конгрессе США. Но подозрительно точная реклама продолжает порождать слухи и шутки о том, что Meta читает мысли.

Моссери же настаивает: никакого шпионажа, просто работающие алгоритмы, совпадения и психология. Иногда вы видите рекламу до того, как обсудили тему, но не фиксируете этого.

* принадлежит корпорации Meta, признанной экстремистской и запрещённой в России

** признанна экстремистской и запрещена в России