Ransomware attacca Windows con malvertising PuTTy e WinSCP

Un'operazione ransomware prende di mira gli amministratori di sistema Windows pubblicando annunci Google per promuovere siti di falsi download per PuTTy e WinSCP. Quest’ultimi sono popolari utility Windows, dove WinSCP è un client SFTP e FTP e PuTTy un client SSH. Gli amministratori di sistema in genere dispongono di privilegi più elevati su una rete Windows. Ciò li rende bersagli preziosi per gli autori delle minacce che desiderano diffondersi rapidamente in una rete, rubare dati e ottenere l'accesso al controller di dominio di una rete per distribuire ransomware. Secondo un recente report di Rapid7, una campagna su un motore di ricerca mostrava annunci falsi per siti Putty e WinSCP durante la ricerca di download winscp o download putty. Non è chiaro se questa campagna sia avvenuta su Google o Bing. Questi annunci utilizzavano nomi di dominio con typosquatting come puutty.org, puutty[.]org, wnscp[.]net e vvinscp[.]net.

Mentre questi siti si spacciavano per il sito legittimo di WinSCP (winscp.net), gli hacker hanno imitato un sito non affiliato per PuTTy (putty.org). Questi includono link per il download che reindirizzano a siti legittimi o scaricano un archivio ZIP dai server dell’hacker. Ciò a seconda se si è stati indirizzato da un motore di ricerca o da un altro sito nella campagna. Gli archivi ZIP scaricati contengono un eseguibile Setup.exe, che è un eseguibile rinominato e legittimo per Python per Windows (pythonw.exe) e un file python311.dll dannoso. Quando viene avviato l'eseguibile pythonw.exe, tenterà di avviare un file python311.dll legittimo. Tuttavia, gli hacker hanno sostituito questa DLL con una versione dannosa caricata utilizzando il sideloading DLL. Quando un utente esegue Setup.exe, carica la DLL dannosa che estrae ed esegue uno script Python crittografato. Questo script installerà infine il toolkit post-exploitation Sliver, strumento popolare utilizzato per l'accesso iniziale alle reti aziendali.

Ransomware Putty e WinSCP: diffusi ulteriori payload tramite Silver

Rapid7 afferma che gli hacker che diffondevano ransomware con falsi download Putty e WinSCP hanno usato Sliver per rilasciare da remoto ulteriori payload, come Cobalt Strike. Hanno utilizzato questo accesso per esfiltrare dati e tentare di distribuire un crittografo ransomware. I ricercatori affermano che la campagna è simile a quelle osservate da Malwarebytes e Trend Micro, relative al ransomware BlackCat/ALPHV. Come spiegato da Tyler McGraw di Rapid7: “i ricercatori hanno osservato il tentativo dell’hacker di esfiltrare dati utilizzando l'utilità di backup Restic e quindi di distribuire ransomware. Si tratta di un tentativo che alla fine è stato bloccato durante l'esecuzione. Le relative tecniche, tattiche e procedure (TTP) osservate da Rapid7 ricordano le precedenti campagne BlackCat/ALPHV riportate da Trend Micro l'anno scorso”.

Le pubblicità sui motori di ricerca sono diventate un grosso problema negli ultimi due anni. Numerosi hacker le utilizzano per diffondere malware e siti di phishing. Questi annunci riguardavano programmi popolari, tra cui Keepass, CPU-Z, Notepad++, Grammarly, MSI Afterburner, Slack, Dashlane, 7-Zip, CCleaner, VLC, Malwarebytes, Audacity, μTorrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird e coraggioso. Più di recente, un hacker ha pubblicato annunci Google che includevano l'URL legittimo della piattaforma di trading di criptovalute Whales Market. Tuttavia, l'annuncio portava a un sito di phishing contenente un cryptodrainer per rubare la criptovaluta dei visitatori.