یک گروه باجافزاری، تبلیغات را جهت جذب افراد به بازدید از صفحات وب که سایت رسمی WinSCP را جعل میکنند، تحت فشار قرار میدهد. گروه BlackCat، صفحات را با نصبکنندههای بدافزار بارگذاری کرده است که هنگام بازدید، سیستم قربانی را آلوده میکند. این گروه امیدوار است مدیران سیستم، ادمینهای وبسایتها و متخصصان فناوری اطلاعات را برای دسترسی اولیه به شبکههای شرکتی ارزشمند، هدف قرار دهد. این کاربران بیشتر به استفاده از WinSCP به عنوان مشتری منبع باز علاقهمند هستند و این سرویس امکان انتقال فایل SSH با قابلیتهای مدیریت فایل و امکان انتقال امن بین ماشینهای محلی و سرورهای راه دور را فراهم میکند. همچنین میتواند به عنوان یک سرویس گیرنده WebDAV و Amazon S3 عمل کند. وبسایتهای جعلی که لینکهای موجود در این تبلیغات به آنها ختم میشود، آموزش استفاده از WinSCP را دارند. این سایتها به خودی خود خطرناک نیستند و به آنها کمک میکند تا از شناسایی شدن توسط گوگل جلوگیری کنند، اما بازدیدکنندگان را به نسخه جعلی سایت WinSCP با نامهای دامنه مشابه، مانند winsccp[.]com هدایت میکنند. در این سایتهای جعلی یک دکمه دانلود است که با کلیک روی آن، یک فایل ISO حاوی بدافزار دانلود میشود. این بدافزار با سرور فرمان و کنترل مهاجم ارتباط برقرار میکند و میتواند زمینه را برای نفوذ بیشتر به سیستم هدف مانند بازیابی اطلاعات Active Directory، استخراج فایلها و دریافت اعتبار Veeam فراهم کند.
بدون دیدگاه