Hacker hanno lanciato una campagna di malware nel marzo 2024, distribuendo installazioni con trojan per WinSCP e PuTTY.
Cliccando su annunci pubblicitari malevoli dopo aver cercato il software porta a download contenenti pythonw.exe rinominato, che carica una DLL dannosa.
Tattiche di Attacco
La DLL carica una DLL legittima e inietta un beacon Sliver utilizzando una tecnica di iniezione DLL riflessiva. Gli attaccanti quindi stabiliscono la persistenza, scaricano payload aggiuntivi, tentano di rubare i dati e distribuiscono il ransomware. Le TTP utilizzate assomigliano a quelle di BlackCat/ALPHV usate in passato.
Il dominio typo-squatted (putty.org) ospita un link di download malevolo per PuTTY. Cliccando il link innesca una catena di reindirizzamenti, alla fine scaricando un archivio zip malware-laced mascherato da installatore PuTTY (putty-0.80-installer.zip) da un dominio WordPress compromesso (areauni.com).
Misure di Sicurezza
- Per proteggere il tuo sistema, segui queste best practice:
- Utilizza software affidabili: Scarica solo software da fonti attendibili e verificate.
- Evita annunci pubblicitari sospetti: Non fare clic su annunci pubblicitari sospetti o link sconosciuti.
- Mantieni aggiornato il software: Assicurati che il software sia aggiornato con le ultime patch di sicurezza.
- Utilizza un software antivirus affidabile: Installa e mantieni aggiornato un software antivirus affidabile.
- Esegui la scansione regolare del sistema: Esegui scansioni regolari del sistema per rilevare e rimuovere eventuali malware.
- Educazione della forza lavoro: Educare la forza lavoro sui rischi e sulle misure di sicurezza appropriate.
- Backup regolari: Esegui backup regolari dei dati per garantire la continuità aziendale in caso di attacco ransomware.
Gli attaccanti stanno sfruttando WinSCP e PuTTY per distribuire ransomware. Per proteggere il tuo sistema, segui le best practice di sicurezza e mantieniti informato sulle ultime minacce e tendenze.
