Эксперты предупреждают, что известная группа программ-вымогателей распространяет фальшивую рекламу, чтобы заманить людей на посещение веб-сайтов, которые подделывают официальный веб-сайт WinSCP (Windows Secure Copy).
BlackCat, также известный как ALPHV, загрузил страницы с установщиками вредоносных программ, которые заражают жертву при посещении. BleepingComputer утверждает, что группа хочет нацелиться на «системных администраторов, веб-администраторов и ИТ-специалистов для первого доступа к ценным корпоративным сетям».
Эти пользователи были бы наиболее заинтересованы в использовании WinSCP, поскольку клиент имеет открытый исходный код и позволяет передавать файлы SSH с возможностями управления файлами, обеспечивая безопасную передачу между локальными компьютерами и удаленными серверами. Он также может выступать в качестве клиента WebDAV и Amazon S3.
Поддельные объявления были обнаружены на страницах поиска Google и Bing. Тренд Микрокто первым обнаружил кампанию, обнаружил, что поиск «Загрузка WinSCP» на этих веб-сайтах приводит к тому, что вредоносная реклама продвигается вместо безопасных и законных результатов.
Поддельные веб-сайты, на которые ссылаются эти объявления, содержат инструкции по использованию WinSCP. Эти веб-сайты сами по себе не опасны и помогают избежать обнаружения Google. Однако они перенаправляют посетителей на поддельную версию веб-сайта WinSCP с похожими доменными именами, такими как winsccp.[.]com (фактический сайт — winscp.net).
На этих поддельных веб-сайтах есть кнопка загрузки, при нажатии на которую загружается файл ISO, содержащий вредоносное ПО. Это вредоносное ПО устанавливает соединение с командным сервером злоумышленника и может заложить основу для дальнейшего вторжения в целевую систему, например, для получения информации Active Directory (AD), извлечения файлов и получения учетных данных Veeam.
Он также использует SpyBoy, известный терминатор, который может отключить защиту конечных точек и антивирусное программное обеспечение. BleepingComputer отмечает, что на хакерских форумах это может стоить до 3000 долларов. Он может повышать разрешения в системе, а затем отключать их.
Помимо BlackCat, Trend Micro заявила, что также обнаружила файл программы-вымогателя Clop в одном из доменов C2 злоумышленника, что позволяет предположить, что они могут быть связаны с несколькими операциями программ-вымогателей.
Клоп наделал много шума в начале этого года, когда успешно атаковал GoAnywhere, а затем MoveIT, затронув при этом многие известные организации.
