Malvertising : un gang de ransomware cible les administrateurs systèmes sous Windows, grâce à PuTTY et WinSCP
Un gang de ransomware cible les professionnels de l'informatique sous Windows grâce à des résultats sponsorisés dans les moteurs de recherche utilisés pour promouvoir de faux sites pour télécharger PuTTY et WinSCP. Faisons le point.
Le client PuTTY (récemment affecté par une vulnérabilité) est une application très populaire sur Windows, notamment pour se connecter à des serveurs ou des équipements réseaux à distance via les protocoles SSH et Telnet. WinSCP quant à lui est une application de transfert de fichiers compatibles avec plusieurs protocoles dont le SFTP, le SCP et le FTP.
Cela en fait des logiciels appréciés par les professionnels de l'informatique, en particulier les administrateurs systèmes avec une machine sous Windows. Ces mêmes administrateurs systèmes, qui, bien souvent, ont des privilèges élevés sur l'infrastructure de l'organisation.
Pour les pirates, ils représentent une cible de choix, comme le montre le rapport mis en ligne par Rapid7 au sein duquel nous pouvons lire : "Début mars 2024, Rapid7 a observé la distribution d'installateurs trojanisés pour les utilitaires open source WinSCP et PuTTy."
D'une simple recherche Internet à l'exécution d'un ransomware
Tout commence par une recherche dans un moteur de recherche tel que Bing ou Google (même si ce dernier n'est pas précisé) avec les mots clés "download winscp" ou "download putty". La liste des résultats contient des résultats sponsorisés correspondants à des publicités malveillantes menant vers des copies des sites officiels de WinSCP ou PuTTY, ou de simples pages de téléchargement. "Dans les deux cas, un lien permettant de télécharger une archive zip contenant le cheval de Troie à partir d'un domaine secondaire était intégré à la page web.", précise Rapid7.
Comme le montre l'image ci-dessous, l'archive ZIP contient un fichier "setup.exe" correspondant à un exécutable Python ("pythonw.exe", renommé) qui va charger une bibliothèque DLL sur la machine dans le but de l'infecter ou d'exécuter une charge malveillante. Il est important de noter que l'application recherchée par l'utilisateur, à savoir PuTTY ou WinSCP, sera bien installée sur la machine.
Lors d'un incident récent, Rapid7 a observé qu'un attaquant tentait d'exfiltrer des données à l'aide de l'utilitaire de sauvegarde Restic, puis de déployer un ransomware, une tentative qui a finalement été bloquée pendant l'exécution", peut-on lire.
Même si Rapid7 ne sait pas précisément quel est le gang de ransomware à l'origine de cette campagne malveillante, les techniques (TTP) utilisées rappellent les anciennes campagnes BlackCat/ALPHV.
