Uma sofisticada campanha de ransomware tem como alvo administradores de sistema Windows, utilizando sites de download falsos para utilitários populares Putty e WinSCP. Esses utilitários, essenciais para transferências seguras de arquivos e acesso remoto, são promovidos por meio de mecanismos de pesquisa, tornando-os alvos principais de cibercriminosos que desejam se infiltrar e comprometer redes inteiras.
O uso de mecanismos de pesquisa para distribuir malware tornou-se cada vez mais prevalente, com vários agentes de ameaças explorando esse método para atingir softwares populares.
Typosquatting e domínios falsos
De acordo com um relatório da Rapid7, a campanha envolve anúncios de mecanismos de pesquisa que aparecem quando os usuários pesquisam “baixar WinSCP” ou “baixar Putty”. Esses anúncios direcionam os usuários para domínios de typosquatting, como puutty.org, wnscp[.]net e vvinscp[.]net. Esses domínios imitam o site legítimo do WinSCP (winscp.net) e um site não afiliado do PuTTY (putty.org), que muitas vezes é confundido com o site oficial. O site PuTTY genuíno está hospedado aqui.
Malicioso Downloads e carregamento lateral de DLL
Os sites falsos fornecem links de download que redirecionam os usuários para sites legítimos ou entregam um arquivo ZIP do servidor do agente da ameaça, dependendo da fonte de referência. O arquivo ZIP contém um arquivo Setup.exe, um executável Python para Windows legítimo renomeado (pythonw.exe) e um arquivo python311.dll malicioso. Quando executado, o pythonw.exe legítimo tenta carregar o python311.dll. No entanto, os agentes da ameaça substituíram esta DLL por uma versão maliciosa que é carregada, uma técnica conhecida como DLL Sideloading. Em última análise, esse processo instala o kit de ferramentas pós-exploração Sliver, que é comumente usado para acesso inicial em redes corporativas.
Implantação de cargas adicionais
A investigação do Rapid7 revela que o kit de ferramentas Sliver é então usado para implantar cargas maliciosas adicionais, incluindo beacons Cobalt Strike. Essas ferramentas permitem que os invasores exfiltrem dados e tentem implantar criptografadores de ransomware. Embora Rapid7 não tenha divulgado muitos detalhes sobre o ransomware usado, as táticas observadas lembram campanhas envolvendo o agora extinto ransomware BlackCat/ALPHV. Em um incidente, o agente da ameaça usou o utilitário de backup Restic para exfiltração de dados antes de tentar implantar o ransomware, o que acabou sendo frustrado.
Mais detalhes sobre a campanha de ransomware
A Rapid7 observou que a campanha afeta desproporcionalmente os membros das equipes de TI, que têm maior probabilidade de baixar os arquivos trojanizados enquanto procuram versões legítimas. A cadeia de infecção normalmente começa depois que um usuário pesquisa uma frase como “download winscp” ou “download putty” em um mecanismo de busca como o Bing da Microsoft. A infecção começa depois que o usuário baixou e extraiu o conteúdo do arquivo zip e executou setup.exe, que é uma cópia renomeada de pythonw.exe, o executável legítimo da janela do console oculto do Python.
A carga principal contido em python311.dll é um arquivo compactado criptografado e incluído na seção de recursos da DLL. Durante a execução, este arquivo é descompactado para executar dois processos filhos. O script systemd.py, executado via pythonw.exe, descriptografa e executa um segundo script Python, em seguida, executa a descriptografia e a injeção reflexiva de DLL de um beacon Sliver. A injeção reflexiva de DLL é o processo de carregar uma biblioteca em um processo diretamente da memória, e não do disco.
Atores de ameaças agem rapidamente
Rapid7 diz que a ameaça O ator toma medidas rápidas após contato bem-sucedido com o farol Sliver, baixando cargas adicionais, incluindo beacons Cobalt Strike. O acesso é então usado para estabelecer persistência por meio de tarefas agendadas e serviços recém-criados após dinamização via SMB. Em um incidente recente, Rapid7 observou o agente da ameaça tentar exfiltrar dados usando o utilitário de backup Restic e, em seguida, implantar ransomware, uma tentativa que acabou sendo bloqueada durante a execução.
As técnicas, táticas e procedimentos relacionados ( TTP) observados pelo Rapid7 são uma reminiscência de campanhas anteriores do BlackCat/ALPHV, conforme relatado pela Trend Micro no ano passado. Rapid7 recomenda verificar a fonte de download do software disponível gratuitamente. Verifique se o hash do(s) arquivo(s) baixado(s) corresponde ao(s) fornecido(s) pelo distribuidor oficial e se contém uma assinatura válida e relevante. As solicitações de DNS para permutações de domínios conhecidos também podem ser bloqueadas proativamente ou as solicitações podem ser redirecionadas para um sumidouro de DNS.
O Rapid7 também percebeu que os usuários afetados são desproporcionalmente membros de equipes de tecnologia da informação (TI) com maior probabilidade para baixar instaladores de utilitários como PuTTY e WinSCP para atualizações ou configuração. Quando a conta de um membro de TI é comprometida, o agente da ameaça ganha uma posição segura com privilégios elevados, o que impede a análise ao misturar suas ações.
