Publicidad maliciosa: una banda de ransomware se dirige a los administradores de sistemas Windows, gracias a PuTTY y WinSCP

El cliente PuTTY  es una aplicación muy popular en Windows, especialmente para conectarse a servidores o equipos de red de forma remota a través de los protocolos SSH y Telnet. WinSCP es una aplicación de transferencia de archivos que es compatible con varios protocolos, incluidos SFTP, SCP y FTP.

Esto los convierte en software populares para los profesionales de TI, especialmente para los administradores de sistemas con una máquina con Windows. Estos mismos administradores de sistemas, que a menudo tienen privilegios elevados sobre la infraestructura de la organización.

​

Para los piratas informáticos, son un objetivo principal, como lo demuestra el informe publicado en línea por Rapid7 en el que podemos leer: "A principios de marzo de 2024, Rapid7 observó la distribución de instaladores troyanizados para las utilidades de código abierto WinSCP y PuTTy."

​

Desde una simple búsqueda en Internet hasta la ejecución de ransomware

​

Todo comienza con una búsqueda en un buscador como Bing o Google (aunque no se especifique este último) con las palabras clave "descargar winscp" o "descargar masilla". La lista de resultados contiene resultados patrocinados correspondientes a anuncios maliciosos que conducen a copias de los sitios oficiales de WinSCP o PuTTY, o páginas de descarga simples. "En ambos casos, se incrustó en la página web un enlace para descargar un archivo zip que contenía el troyano de un dominio secundario", dice Rapid7.

​

Como se muestra en la siguiente imagen, el archivo ZIP contiene un archivo "setup.exe" correspondiente a un ejecutable de Python ("pythonw.exe", renombrado) que cargará una biblioteca DLL en la máquina para infectarla o ejecutar una carga maliciosa. Es importante tener en cuenta que la aplicación que el usuario está buscando, es decir, PuTTY o WinSCP, se instalará en la máquina.

​

En un incidente reciente, Rapid7 observó que un atacante intentaba exfiltrar datos utilizando el método copia de seguridad Restric, luego implemente ransomware, un intento que finalmente se bloqueó durante la ejecución", se lee.

​

Aunque Rapid7 no sabe con precisión qué banda de ransomware está detrás de esta campaña maliciosa, las técnicas (TTP) utilizadas recuerdan a las antiguas campañas de BlackCat/ALPHV.