Ciberdelincuentes utilizan anuncios en buscadores para promover sitios de descarga falsos, apuntando a administradores con privilegios elevados en redes de Windows.
Una operación de ransomware está dirigida a administradores de sistemas Windows mediante la u utilización de anuncios en motores de búsqueda para promocionar sitios de descarga falsos de PuTTY y WinSCP. Estos anuncios redirigen a dominios maliciosos que descargan archivos comprometidos, incluyendo un instalador legítimo de Python (pythonw.exe) y un archivo DLL malicioso (python311.dll). Cuando el ejecutable es lanzado, carga el DLL malicioso utilizando DLL Sideloading, que posteriormente instala el toolkit de explotación Sliver. Esta campaña ha sido observada distribuyendo cargas útiles adicionales como Cobalt Strike y exfiltrando datos antes de intentar desplegar ransomware.
Estos sitios maliciosos, que usan dominios con errores tipográficos como «puutty.org» y «wnscp.net», buscan infectar redes corporativas al distribuir instaladores troyanizados que contienen archivos DLL maliciosos. La amenaza se expande rápidamente en las redes, roba datos y trata de desplegar ransomware, según un informe reciente de Rapid7.
WinSCP es un cliente SFTP y FTP, mientras que PuTTY es un cliente SSH. Rapid7 ha observado que los administradores de sistemas son los más afectados, ya que son quienes comúnmente descargan estos programas. Esto da a los atacantes un acceso privilegiado que dificulta el análisis y la respuesta.
El análisis realizado por Rapid7 presenta actualizaciones de investigaciones anteriores, incluyendo una variedad de nuevos indicadores de compromiso, una regla YARA para ayudar a identificar DLL maliciosas y algunos cambios observados en la funcionalidad del malware. Apunta a que la campaña publicitaria en los motores de búsqueda ha mostrado anuncios para estos sitios falsos cuando se busca «descargar WinSCP» o «descargar PuTTY».
Aunque aún se está determinando si esta campaña se realizó en Google o Bing, los anuncios redirigían a sitios que ofrecían archivos ZIP infectados. Estos archivos contenían un ejecutable Setup.exe que, al ser ejecutado, cargaba una versión legítima del archivo pythonw.exe junto con un archivo malicioso python311.dll, utilizando la conocida técnica como DLL Sideloading.
En un incidente reciente, Rapid7 detectó que los atacantes intentaron exfiltrar datos usando la utilidad de respaldo Restic antes de intentar desplegar el ransomware. Aunque este intento fue bloqueado, las técnicas y procedimientos utilizados recuerdan a campañas anteriores del ransomware BlackCat/ALPHV.
Esta tendencia de utilizar anuncios en motores de búsqueda para distribuir malware ha crecido en los últimos años, afectando a programas populares como Keepass, VLC, y TeamViewer, entre otros. La situación se agrava con anuncios que redirigen a sitios de phishing, como el caso reciente de un anuncio de Google que conducía a una versión falsa del sitio de criptomonedas Whales Market, diseñado para drenar criptomonedas de los visitantes.
Para mitigar estos riesgos, Rapid7 recomienda verificar las fuentes de descarga de software, asegurarse de que los archivos descargados coincidan con los hashes oficiales y evitar hacer clic en anuncios sospechosos. Además, sugieren bloquear proactivamente las solicitudes DNS de dominios conocidos por suplantación y utilizar herramientas como DNSTwist para identificar posibles dominios maliciosos.
Más información:
- https://www.rapid7.com/blog/post/2024/05/13/ongoing-malvertising-campaign-leads-to-ransomware/
- https://www.bleepingcomputer.com/news/security/ransomware-gang-targets-windows-admins-via-putty-winscp-malvertising/
Deja una respuesta