Operasi ransomware menargetkan administrator sistem Windows dengan menghapus iklan Google untuk mempromosikan situs unduhan palsu untuk Putty dan WinSCP.
Menurut Rapid7, saat ini, kampanye mesin pencari menampilkan iklan untuk download situs Putty dan WinSCP palsu. Iklan ini menggunakan domain puutty.org, winscp.net dan vvinscp.net. Apabila situs tersebut diklik maka kita akan mengunduh file ZIP yang berisi setup.exe, yang berisi file executable yang telah diganti namanya (pythonw.exe dan file python311.dll). Skrip tersebut pada akhirnya akan menginstal toolkit pasca-eksploitasi Sliver, sebuah alat populer yang digunakan untuk akses awal ke jaringan perusahaan.
Rapid7 mengatakan pelaku ancaman menggunakan Sliver untuk memasukkan muatan lebih lanjut dari jarak jauh, termasuk Cobalt Strike Beacons. Peretas menggunakan akses ini untuk mengekstraksi data dan mencoba menyebarkan ransomeware enkripsi.
Sumber:
https://www.bleepingcomputer.com
/news/security/ransomware-gang-
targets-windows-admins-via-
putty-winscp-malvertising/
Menurut Rapid7, saat ini, kampanye mesin pencari menampilkan iklan untuk download situs Putty dan WinSCP palsu. Iklan ini menggunakan domain puutty.org, winscp.net dan vvinscp.net. Apabila situs tersebut diklik maka kita akan mengunduh file ZIP yang berisi setup.exe, yang berisi file executable yang telah diganti namanya (pythonw.exe dan file python311.dll). Skrip tersebut pada akhirnya akan menginstal toolkit pasca-eksploitasi Sliver, sebuah alat populer yang digunakan untuk akses awal ke jaringan perusahaan.
Rapid7 mengatakan pelaku ancaman menggunakan Sliver untuk memasukkan muatan lebih lanjut dari jarak jauh, termasuk Cobalt Strike Beacons. Peretas menggunakan akses ini untuk mengekstraksi data dan mencoba menyebarkan ransomeware enkripsi.
Sumber:
https://www.bleepingcomputer.com
/news/security/ransomware-gang-
targets-windows-admins-via-
putty-winscp-malvertising/