Кибербезопасность снова в центре внимания: эксперты предупреждают о новой масштабной атаке, нацеленной на системных администраторов. Злоумышленники используют рекламные объявления в поисковой системе Bing, чтобы заманить жертв на поддельные сайты, предлагающие заражённую версию популярного SSH-клиента PuTTY. Этот метод уже превзошёл по эффективности традиционные фишинговые схемы, становясь основным инструментом распространения вредоносного ПО.
Описание
По данным аналитиков компании Expel Security, мошенники размещают в Bing рекламу, которая выглядит как официальный сайт PuTTY, но на самом деле перенаправляет пользователей на контролируемые злоумышленниками ресурсы. Когда ничего не подозревающий администратор скачивает и запускает поддельный установщик, на его компьютер загружается вредоносная программа Oyster/Broomstick, связанная с печально известной группировкой Rhysida, специализирующейся на ransomware-атаках.
Особенность этой кампании - её многоступенчатость и тщательная подготовка. После заражения вредоносное ПО создаёт в системе задачу под названием «Security Updater», которая маскируется под стандартный процесс обновления безопасности, что значительно усложняет обнаружение угрозы. Кроме того, злоумышленники используют поддельные цифровые сертификаты, выданные на якобы легальные компании, такие как GALVIN & ASSOCIATES LLC и Shanxi Jiusheng Tongtai Trading Co., Ltd. Это позволяет вредоносному коду обходить защитные механизмы, проверяющие подлинность ПО.
Эксперты отмечают, что атака демонстрирует растущую профессионализацию киберпреступников. Злоумышленники вкладывают значительные средства в рекламу и сертификаты, что делает их кампании более убедительными и сложными для обнаружения. По оценкам специалистов, только на покупку рекламы в Bing и сертификатов было потрачено несколько тысяч долларов, что говорит о серьёзных финансовых возможностях преступных группировок.
Рекомендации для защиты очевидны: администраторам следует загружать PuTTY и другие инструменты исключительно с официальных сайтов, проверять цифровые подписи файлов и использовать надёжные антивирусные решения с функцией мониторинга подозрительной активности. Также важно обучать сотрудников распознаванию фишинговых схем и регулярно обновлять системы безопасности. В условиях, когда киберпреступники используют всё более изощрённые методы, только комплексный подход к защите данных может минимизировать риски.
Эта атака в очередной раз подтверждает, что даже проверенные инструменты и поисковые системы могут стать источником угрозы. Внимательность и строгое соблюдение правил кибергигиены остаются ключевыми факторами в борьбе с цифровыми угрозами.
Индикаторы компрометации
Domains
- fmwyd.com
- mvmmoving.com
- put.mxcue.com
- putty.run
MD5
- 18b77f4f10e0a17341fdfb2371e88fb2
- 90f0412fa7e5f3cd5f84cb80f951d539
- f42dae36a47882391da920ce56f497b8
