تستهدف إحدى عمليات برامج الفدية مسؤولي نظام Windows عن طريق عرض إعلانات Google للترويج لمواقع التنزيل المزيفة لـPutty وWinSCP.
تعد WinSCP وPutty من الأدوات المساعدة الشائعة لنظام التشغيل Windows، حيث يكون WinSCP عميل SFTP وعميل FTP وPutty عميل SSH.
يتمتع مسؤولو النظام عادةً بامتيازات أعلى على شبكة Windows، مما يجعلهم أهدافًا قيمة للجهات الفاعلة في مجال التهديد الذين يرغبون في الانتشار بسرعة عبر الشبكة وسرقة البيانات والوصول إلى وحدة تحكم مجال الشبكة لنشر برامج الفدية.
يقول تقرير حديث صادر عن Rapid7 أن حملة محرك البحث عرضت إعلانات لمواقع Putty وWinSCP المزيفة عند البحث عنتحميل برنامج Winscpأوتحميل المعجون. ليس من الواضح ما إذا كانت هذه الحملة قد تمت على Google أو Bing.
استخدمت هذه الإعلانات أسماء النطاقات المطبعية مثل puutty.org وpuutty[.]غزاله، wnscp[.]صافي، وvvinscp[.]شبكة.
بينما انتحلت هذه المواقع صفة الموقع الشرعي لـ WinSCP (winscp.net)، قام ممثلو التهديد بتقليد موقع غير تابع لـ PuTTY (putty.org)، والذي يعتقد الكثير من الناس أنه الموقع الحقيقي. الموقع الرسمي لـ PuTTY هو في الواقعhttps://www.chiark.greenend.org.uk/~sgtatham/putty/.
تتضمن هذه المواقع روابط تنزيل، عند النقر عليها، إما إعادة توجيهك إلى مواقع شرعية أو تنزيل أرشيف ZIP من خوادم جهة التهديد استنادًا إلى ما إذا تمت إحالتك بواسطة محرك بحث أو موقع آخر في الحملة.
المصدر: Rapid7
تحتوي أرشيفات ZIP التي تم تنزيلها على ملفSetup.exeقابل للتنفيذ، وهو ملف قابل للتنفيذ تمت إعادة تسميته وشرعيًا لـ Python لنظام التشغيل Windows (pythonw.exe) ، وخبيثبيثون311.dllملف.
عند تشغيل الملف القابل للتنفيذ pythonw.exe، سيحاول تشغيل ملف python311.dll شرعي. ومع ذلك، استبدلت جهات التهديد ملف DLL هذا بإصدار ضار تم تحميله بدلاً من ذلك باستخدام DLL Sideloading.
عندما يقوم المستخدم بتشغيل Setup.exe، معتقدًا أنه يقوم بتثبيت PuTTY أو WinSCP، فإنه يقوم بتحميل ملف DLL الضار، الذي يستخرج وينفذ برنامج Python النصي المشفر.
سيقوم هذا البرنامج النصي في النهاية بتثبيت ملفقطعة من الجبنمجموعة أدوات ما بعد الاستغلال، وهي أداة شائعة تستخدم للوصول الأولي إلى شبكات الشركة.
يقول Rapid7 إن جهة التهديد استخدمت Sliver لإسقاط المزيد من الحمولات عن بعد، بما في ذلك إشارات Cobalt Strike. استخدم المتسلل هذا الوصول لتصفية البيانات ومحاولة نشر برنامج تشفير برامج الفدية.
المصدر: Rapid7
وبينما شارك Rapid7 تفاصيل محدودة حول برنامج الفدية، يقول الباحثون إن الحملة مشابهة لتلك التي شاهدتهاالبرامج الضارةوتريند مايكرو، التي نشرتتم إيقاف تشغيل برنامج الفدية BlackCat/ALPHV الآن.
“في حادثة وقعت مؤخرًا، لاحظت Rapid7 محاولة جهة التهديد سرقة البيانات باستخدام أداة النسخ الاحتياطي Restic، ثم نشر برامج الفدية، وهي محاولة تم حظرها في النهاية أثناء التنفيذ.”يشرح تايلر ماكجرو من Rapid7.
“إن التقنيات والتكتيكات والإجراءات ذات الصلة (TTP) التي لاحظتها Rapid7 تذكرنا بحملات BlackCat/ALPHV السابقةكما ذكرت تريند مايكرو العام الماضي“.
أصبحت إعلانات محرك البحث مشكلة كبيرة على مدى العامين الماضيين، معالعديد من الجهات الفاعلة التهديدية التي تستخدمهالدفع البرمجيات الخبيثة ومواقع التصيد.
وكانت هذه الإعلانات لبرامج شعبية، بما في ذلكKeepass,وحدة المعالجة المركزية-Z,المفكرة ++، النحوي، MSI Afterburner، Slack، Dashlane،7-الرمز البريدي، كلنر، VLCو Malwarebytes و Audacity و μTorrent و OBS و Ring و AnyDesk و Libre Office و Teamviewer و Thunderbird و Brave.
في الآونة الأخيرة، ممثل التهديدأخرج إعلانات جوجلوالتي تتضمن عنوان URL الشرعي لمنصة تداول العملات المشفرة Whales Market. ومع ذلك، أدى الإعلان إلى موقع تصيد يحتوي على أداة تشفير لسرقة العملة المشفرة الخاصة بالزائرين.