Nicolai Busekist
Eksperter har afsløret en ondsindet kampagne, hvor falske landingssider bruges til at installere malware.
Cybersikkerhedsforskere fra Arctic Wolf har opdaget, at ondsindede aktører har oprettet en lang række landingssider, der udgiver sig for at være PuTTY og WinSCP. Her er der tale om to populære Windows-værktøjer, der bruges til at opsætte en sikker forbindelse til fjernservere.
Disse sider ligner fuldstændig de legitime versioner, og når folk – typisk IT-, cybersikkerheds- og webudviklingsfolk – leder efter disse værktøjer på Google, kan de blive narret til at klikke ind på de falske hjemmesider.
Da intet umiddelbart virker mistænkeligt på siderne, vil mange downloade værktøjet, som ganske vist fungerer som forventet, men samtidig installerer Oyster, der er en kendt malware-loader, som også går under navnene Broomstick eller CleanUpLoader.
“Ved udførelse installeres en bagdør kendt som Oyster/Broomstick,” forklarede Arctic Wolf ifølge TechRadar.
“Vedvarende adgang sikres ved at oprette en planlagt opgave, som kører hvert tredje minut og aktiverer en ondsindet DLL-fil (twain_96.dll) via rundll32.exe med funktionen DllRegisterServer, hvilket tyder på, at DLL-registrering anvendes som en del af vedvarende angreb.”
Oyster er en diskret malware-loader, der bruges til at levere yderligere skadelige programmer til inficerede Windows-systemer og indgår ofte i angreb, der spredes over flere stadier.
Den benytter teknikker som procesinjektion, streng-obfuskering og command-and-control via HTTPS for at undgå opdagelse og fastholde adgangen til systemet. Her er en række eksempler på falske sider brugt i angrebene:
- updaterputty[.]com
- zephyrhype[.]com
- putty[.]run
- putty[.]bet
- puttyy[.]org
Selvom Arctic Wolf primært nævnte PuTTY og WinSCP, understregede de, at andre værktøjer muligvis også er blevet misbrugt på lignende vis.
“Selvom kun trojaniserede versioner af PuTTY og WinSCP er blevet observeret i denne kampagne, er det muligt, at yderligere værktøjer også er involveret,” lød det fra dem.
Af sikkerhedsmæssige årsager rådes alle – især fagfolk – til kun at downloade software fra pålidelige kilder, og indtaste webadresser manuelt frem for blot at søge efter programmets navn på Google og klikke på det øverste søgeresultat.
I værste fald kan det nemlig vise sig at være forskellen mellem et sikkert værktøj og en skadelig infektion.
