Программа-вымогатель BlackCat продвигает Cobalt Strike через поисковые объявления WinSCP

Группа вымогателей BlackCat (также известная как ALPHV) заманивает людей на поддельные страницы, которые имитируют официальный сайт приложения для передачи файлов WinSCP для Windows, но вместо этого заражают вредоносным ПО.

Программа-вымогатель BlackCat продвигает Cobalt Strike через поисковые объявления WinSCP. Фото: СС0

WinSCP (Windows Secure Copy) — это популярный бесплатный клиент SFTP, FTP, S3, SCP и файловый менеджер с открытым исходным кодом с возможностями передачи файлов SSH, который загружается 400 тыс. раз в неделю только на SourceForge.

BlackCat использует программу как приманку, чтобы потенциально заразить компьютеры системных администраторов, веб-администраторов и ИТ-специалистов для первоначального доступа к ценным корпоративным сетям.

Этот ранее неизвестный вектор заражения программой-вымогателем ALPHV был обнаружен аналитиками Trend Micro. Они выявили рекламные кампании, продвигающие поддельные страницы на поисковых страницах Google и Bing.

Атака начинается с того, что жертва ищет «WinSCP Download» в Bing или Google и получает продвигаемые вредоносные результаты, которые ранжируются выше безопасных сайтов загрузки WinSCP.

Жертвы кликают на эти объявления и посещают веб-сайт, на котором размещены учебные пособия по выполнению автоматической передачи файлов с помощью WinSCP.

Эти сайты не содержат ничего вредоносного и, вероятно, не обнаруживаются поисковыми роботами Google, но перенаправляют посетителей на клон официального веб-сайта WinSCP с кнопкой загрузки. Эти клоны используют доменные имена, аналогичные реальному домену winscp.net для утилиты, например winscp[.]com.

Жертва нажимает кнопку и получает файл ISO, содержащий «setup.exe» и «msi.dll», первый из которых является приманкой для запуска пользователем, а второй — дроппером вредоносного ПО, запускаемым исполняемым файлом.

Из сообщения компании:

«После запуска setup.exe он вызовет msi.dll, который позже извлечет папку Python из раздела DLL RCDATA в качестве реального установщика для WinSCP, который будет установлен на машине».

Этот процесс также устанавливает троянизированную python310.dll и создает механизм сохраняемости, создавая ключ запуска с именем «Python» и значением «C:\Users\Public\Music\python\pythonw.exe».

Исполняемый файл pythonw.exe загружает модифицированную python310.dll, содержащую маяк Cobalt Strike, который подключается к адресу сервера управления и контроля.

Имея в системе запущенный Cobalt Strike, легко выполнять дополнительные скрипты, извлекать инструменты для бокового перемещения и вообще углублять компрометацию, утверждают в компании.

В Trend Micro заявляют, что связывают вышеуказанные TTP с подтвержденным заражением программами-вымогателями ALPHV. Также обнаружен файл программы-вымогателя Clop в одном из исследованных доменов C2, поэтому субъект угрозы может быть связан с несколькими операциями программы-вымогателя.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме