Një fushatë e sofistikuar ransomware po synon administratorët e sistemit të Windows duke përdorur faqe të rreme shkarkimi për shërbimet e njohura Putty dhe WinSCP. Këto shërbime, thelbësore për transferimet e sigurta të skedarëve dhe aksesin në distancë, promovohen përmes motorëve të kërkimit, duke i bërë ato objektiva kryesorë për kriminelët kibernetikë që synojnë të depërtojnë dhe kompromentojnë rrjete të tëra.
Përdorimi i motorëve të kërkimit për të shpërndarë malware është bërë gjithnjë e më i përhapur, me shumë aktorë kërcënimi që shfrytëzojnë këtë metodë për të synuar softuerin popullor.
Typosquatting dhe Fake Domains
Sipas një raporti nga Rapid7, fushata përfshin fushatën. reklamat e motorëve të kërkimit që shfaqen kur përdoruesit kërkojnë”shkarkoni WinSCP”ose”shkarkoni Putty”. Këto reklama i drejtojnë përdoruesit drejt domeneve të typosquatting si puutty.org, wnscp[.]net dhe vvinscp[.]net. Këto domene imitojnë sitin legjitim për WinSCP (winscp.net) dhe një sajt të palidhur për PuTTY (putty.org), i cili shpesh gabohet si faqja zyrtare. Faqja origjinale e PuTTY është në të vërtetë strehuar këtu.
Dëm të keqdashës. Shkarkimet dhe ngarkimi anësor i DLL-së
Sajtet e rreme ofrojnë lidhje shkarkimi që ose ridrejtojnë përdoruesit në sajte legjitime ose ofrojnë një arkiv ZIP nga serveri i aktorit të kërcënimit, në varësi të burimit të referimit. Arkivi ZIP përmban një skedar Setup.exe, një Python të riemërtuar legjitim për Windows të ekzekutueshëm (pythonw.exe) dhe një skedar me qëllim të keq python311.dll. Kur ekzekutohet, pythonw.exe legjitime përpiqet të ngarkojë python311.dll. Megjithatë, aktorët e kërcënimit e kanë zëvendësuar këtë DLL me një version me qëllim të keq që ngarkohet në vend të kësaj, një teknikë e njohur si DLL Sideloading. Ky proces përfundimisht instalon paketën e veglave të post-shfrytëzimit Sliver, i cili përdoret zakonisht për hyrjen fillestare në rrjetet e korporatave.
Shpërndarja e ngarkesave të mëtejshme
Hetimi i Rapid7 zbulon se paketa e veglave Sliver përdoret më pas për të vendosur ngarkesa shtesë me qëllim të keq, duke përfshirë fenerët e Cobalt Strike. Këto mjete u mundësojnë sulmuesve të nxjerrin të dhëna dhe të përpiqen të vendosin enkriptues ransomware. Edhe pse Rapid7 nuk ka zbuluar detaje të gjera në lidhje me ransomware-in e përdorur, taktikat e vëzhguara të kujtojnë fushatat që përfshijnë ransomware-in tashmë të zhdukur BlackCat/ALPHV. Në një incident, aktori i kërcënimit përdori mjetin rezervë Restic për ekfiltrimin e të dhënave përpara se të përpiqej të vendoste ransomware, i cili përfundimisht u pengua.
Më shumë detaje rreth fushatës Ransomware
Rapid7 ka vërejtur se fushata prek në mënyrë disproporcionale anëtarët e ekipeve të IT, të cilët kanë më shumë gjasa të shkarkojnë skedarët e trojanizuar ndërsa kërkojnë versione të ligjshme. Zinxhiri i infeksionit zakonisht fillon pasi një përdorues kërkon një frazë të tillë si”shkarkoni winscp”ose”shkarkoni stuko”në një motor kërkimi si Bing i Microsoft. Infeksioni fillon pasi përdoruesi ka shkarkuar dhe nxjerrë përmbajtjen e arkivit zip dhe ka ekzekutuar setup.exe, i cili është një kopje e riemërtuar e pythonw.exe, e ekzekutueshme legjitime e dritares së konsolës së fshehur të Python.
Ngarkesa kryesore e pagesës. i përfshirë në python311.dll është një arkiv i ngjeshur i koduar dhe i përfshirë brenda seksionit të burimeve të DLL. Gjatë ekzekutimit, ky arkiv shpaketohet për të ekzekutuar dy procese fëmijë. Skripti systemd.py, i ekzekutuar nëpërmjet pythonw.exe, deshifron dhe ekzekuton një skript të dytë Python më pas kryen deshifrimin dhe injektimin reflektues të DLL-së të një beacon Sliver. Injeksioni reflektues i DLL është procesi i ngarkimit të një biblioteke në një proces direkt nga memoria në vend të diskut.
Aktorët e kërcënimit veprojnë shpejt
Rapid7 thotë kërcënimi. aktori ndërmerr veprime të shpejta pas kontaktit të suksesshëm me beacon Sliver, duke shkarkuar ngarkesa shtesë, duke përfshirë fenerët Cobalt Strike. Qasja përdoret më pas për të vendosur qëndrueshmërinë nëpërmjet detyrave të planifikuara dhe shërbimeve të krijuara rishtazi pas rrotullimit nëpërmjet SMB. Në një incident të fundit, Rapid7 vëzhgoi përpjekjen e aktorit të kërcënimit për të shfrytëzuar të dhënat duke përdorur programin rezervë Restic, dhe më pas të vendoste ransomware, një përpjekje e cila u bllokua përfundimisht gjatë ekzekutimit.
Teknikat, taktikat dhe procedurat e lidhura ( TTP) të vëzhguara nga Rapid7 të kujtojnë fushatat e kaluara BlackCat/ALPHV siç raportohet nga Trend Micro vitin e kaluar. Rapid7 rekomandon verifikimin e burimit të shkarkimit të softuerit të disponueshëm falas. Kontrolloni që hash-i i skedarëve të shkarkuar të përputhet me ato të dhëna nga shpërndarësi zyrtar dhe që ato përmbajnë një nënshkrim të vlefshëm dhe përkatës. Kërkesat DNS për ndërrime të domeneve të njohura mund të bllokohen gjithashtu në mënyrë proaktive ose kërkesat mund të ridrejtohen në një vrimë DNS.
Rapid7 gjithashtu vuri re se përdoruesit e ndikuar janë në mënyrë disproporcionale anëtarë të ekipeve të teknologjisë së informacionit (IT) të cilët kanë më shumë gjasa. për të shkarkuar instalues për shërbime si PuTTY dhe WinSCP për përditësime ose konfigurime. Kur llogaria e një anëtari të TI-së rrezikohet, aktori i kërcënimit fiton një terren me privilegje të larta, gjë që pengon analizën duke u përzier në veprimet e tyre.
