Mr.Dark
Активный пользователь
- Регистрация
- 01.06.2025
- Сообщения
- 8 072
- Реакции
- 6 980
- Баллы
- 113
Поддельные PuTTY и WinSCP - хакеры маскируют вредонос через поисковики✓10.07.25
Эксперты в сфере кибербезопасности из компании Arctic Wolf выявили новую вредоносную кампанию, нацеленную на администраторов и ИТ-специалистов. Преступники распространяют подделки популярных утилит PuTTY и WinSCP через поисковые системы и вредоносную рекламу, подсовывая пользователям заражённые версии программ.
Атака начинается с того, что человек ищет нужную утилиту в Google или Bing. Злоумышленники заранее создают поддельные сайты, оформленные так, будто это официальные страницы разработчиков. Эти сайты выводятся в верхние строки результатов поиска с помощью SEO-оптимизации и платных объявлений. Один клик — и на компьютер скачивается «инсталлятор», который вместо настоящего ПО запускает троян с бэкдором.
Как показал анализ, вредонос внедряет в систему инструменты вроде Oyster и Broomstick, обеспечивающие злоумышленникам постоянный доступ. Среди возможностей — сбор данных, установка дополнительных вредоносов и движение внутри корпоративной сети. Чтобы закрепиться в системе, троян создаёт задачу, запускаемую каждые три минуты, через rundll32.exe, с подгрузкой DLL-файла twain_96.dll. Этот способ далеко не новый, но всё ещё работает.
На текущий момент подтверждено заражение только через поддельные PuTTY и WinSCP, но эксперты предупреждают: аналогичная схема может быть использована для любого популярного ИТ-инструмента.