Hacker locken mit gefälschten WinSCP- und Putty-Downloads in die Falle
Eine Gruppe Hacker hat ihre Angel auf Windows-Systemadministratoren geworfen - und nutzt als Köder Google-Anzeigen. Dabei wird für Downloadseiten für Putty und WinSCP geworben, die manipulierte Download-Pakete gespickt mit Malware zur Verfügung stellen.
Der SFTP- und FTP-Client WinSCP und der SSH-Client Putty sind recht beliebte Windows-Dienstprogramme - daher sind sie als Köder auch so hervorragend geeignet.
Systemadministratoren haben in der Regel höhere Privilegien in einem Windows-Netzwerk, was sie zu wertvollen Zielen für Bedrohungsakteure macht. Damit lässt sich Malware im Grunde noch schneller in einem Netzwerk ausbreiten, Daten stehlen und Zugriff auf den Domänencontroller eines Netzwerks erlangen, um dann beispielsweise Ransomware einzusetzen.
In einem aktuellen Bericht von Rapid7 heißt es, dass eine Suchmaschinenkampagne Anzeigen für gefälschte Putty- und WinSCP-Websites anzeigte, wenn man nach "download winscp" oder "download putty" sucht. Die Anzeigen verwendeten typosquatting Domainnamen wie puutty.org, puutty[.]org, wnscp[.]net und vvinscp[.]net.
Während sich diese Websites als die legitime Website für WinSCP (winscp.net) ausgaben, imitierten die Bedrohungsakteure eine nicht zugehörige Website für Putty (putty.org), von der viele glauben, dass sie die echte Website ist. Die offizielle Website für Putty lautet allerdings https://www.chiark.greenend.org.uk/~sgtatham/putty/.
Wenn die ausführbare Datei pythonw.exe gestartet wird, versucht sie, eine legitime python311.dll-Datei zu starten. Die Bedrohungsakteure haben diese DLL jedoch durch eine bösartige Version ersetzt.
Wenn ein Nutzer die Setup.exe ausführt und glaubt, dass er Putty oder WinSCP installiert, lädt er stattdessen die bösartige DLL, die ein verschlüsseltes Python-Skript extrahiert und ausführt. Dieses Skript installiert schließlich das Sliver Post-Exploitation-Toolkit, ein beliebtes Tool, das bekanntermaßen häufig für den Erstzugang zu Unternehmensnetzwerken verwendet wird.
Rapid7 gab bisher nur wenige Details über die Ransomware bekannt, aber die Experten erklärten, dass die Kampagne denen ähnelt, die von Malwarebytes und Trend Micro beobachtet wurden, die die inzwischen stillgelegte Ransomware BlackCat eingesetzt haben.
Siehe auch:
Massive Probleme mit "Hacker-Werbung"
Das meldet das Online-Magazin Bleeping Computer und verweist dabei auf eine Analyse der Sicherheitsspezialisten von Rapid7. Dieser Trick ist alt, doch dass die Angreifer nun speziell Administratoren ins Visier nehmen, ist eine große Veränderung bei der Masche. Suchmaschinenwerbung hat sich in den letzten Jahren zu einem massiven Problem entwickelt, da zahlreiche Bedrohungsakteure sie nutzen, um Malware und Phishing-Seiten zu verbreiten.Der SFTP- und FTP-Client WinSCP und der SSH-Client Putty sind recht beliebte Windows-Dienstprogramme - daher sind sie als Köder auch so hervorragend geeignet.
Systemadministratoren haben in der Regel höhere Privilegien in einem Windows-Netzwerk, was sie zu wertvollen Zielen für Bedrohungsakteure macht. Damit lässt sich Malware im Grunde noch schneller in einem Netzwerk ausbreiten, Daten stehlen und Zugriff auf den Domänencontroller eines Netzwerks erlangen, um dann beispielsweise Ransomware einzusetzen.
In einem aktuellen Bericht von Rapid7 heißt es, dass eine Suchmaschinenkampagne Anzeigen für gefälschte Putty- und WinSCP-Websites anzeigte, wenn man nach "download winscp" oder "download putty" sucht. Die Anzeigen verwendeten typosquatting Domainnamen wie puutty.org, puutty[.]org, wnscp[.]net und vvinscp[.]net.
Während sich diese Websites als die legitime Website für WinSCP (winscp.net) ausgaben, imitierten die Bedrohungsakteure eine nicht zugehörige Website für Putty (putty.org), von der viele glauben, dass sie die echte Website ist. Die offizielle Website für Putty lautet allerdings https://www.chiark.greenend.org.uk/~sgtatham/putty/.
Bösartige Datei im Download-Paket
Die Websites der Hacker enthalten Download-Links, die ein ZIP-Archiv von den Servern des Bedrohungsakteurs herunterladen. Die ZIP-Archive enthalten eine ausführbare Datei Setup.exe, bei der es sich um eine umbenannte und legitime ausführbare Datei für Python für Windows (pythonw.exe) handelt, sowie eine bösartige Datei python311.dll.Wenn die ausführbare Datei pythonw.exe gestartet wird, versucht sie, eine legitime python311.dll-Datei zu starten. Die Bedrohungsakteure haben diese DLL jedoch durch eine bösartige Version ersetzt.
Wenn ein Nutzer die Setup.exe ausführt und glaubt, dass er Putty oder WinSCP installiert, lädt er stattdessen die bösartige DLL, die ein verschlüsseltes Python-Skript extrahiert und ausführt. Dieses Skript installiert schließlich das Sliver Post-Exploitation-Toolkit, ein beliebtes Tool, das bekanntermaßen häufig für den Erstzugang zu Unternehmensnetzwerken verwendet wird.
Rapid7 gab bisher nur wenige Details über die Ransomware bekannt, aber die Experten erklärten, dass die Kampagne denen ähnelt, die von Malwarebytes und Trend Micro beobachtet wurden, die die inzwischen stillgelegte Ransomware BlackCat eingesetzt haben.
Zusammenfassung
- Hacker zielen auf Windows-Admins mit Google-Anzeigen
- Werbung für manipulierte Putty- und WinSCP-Seiten enthält Malware
- Rapid7: Suchmaschinenwerbung wird zunehmend für Malware genutzt
- Admins sind wertvolle Ziele wegen höherer Netzwerkprivilegien
- Gefälschte Websites nutzen typosquatting Domainnamen
- Bösartige Websites bieten ZIP-Archive mit umbenannter Setup.exe an
- Setup.exe installiert das Sliver Post-Exploitation-Toolkit
Siehe auch:
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Antivirus:
Neue Nachrichten
Beliebte Nachrichten
Videos
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen