Un gruppo di esperti ha scoperto una campagna malevola che utilizza pagine web fasulle ottimizzate SEO per diffondere Oyster, un malware loader noto anche come Broomstick o CleanUpLoader.
Secondo i ricercatori di Arctic Wolf, i cybercriminali hanno realizzato pagine praticamente identiche a quelle ufficiali di PuTTY e WinSCP, due strumenti molto usati in ambito IT e sicurezza per accedere in modo sicuro a server remoti. I siti contraffatti appaiono tra i primi risultati su Google e prendono di mira soprattutto professionisti dell’IT, della cybersecurity e dello sviluppo web.
Questa minaccia evidenzia ancora una volta l’importanza di verificare sempre l’URL dei siti da cui si scaricano strumenti sensibili e di non affidarsi ciecamente ai primi risultati nei motori di ricerca.
Other software abused, too
Secondo Arctic Wolf, una volta eseguito il file scaricato dai falsi siti, viene installato il backdoor Oyster (o Broomstick). La persistenza viene garantita tramite la creazione di un’attività pianificata che si attiva ogni tre minuti, eseguendo una DLL malevola chiamata twain_96.dll tramite rundll32.exe. Questo avviene usando il metodo DllRegisterServer, una tecnica comune per mantenere l'accesso furtivo.
Oyster è un malware loader particolarmente insidioso, progettato per scaricare altri payload dannosi in attacchi a più fasi. Per eludere le difese, sfrutta iniezione di processo, offuscamento delle stringhe e comunicazioni crittografate via HTTPS.
Tra i siti falsi identificati, compaiono:
updaterputty[.]com
zephyrhype[.]com
putty[.]run
putty[.]bet
puttyy[.]org
Anche se finora sono state rilevate solo versioni trojanizzate di PuTTY e WinSCP, Arctic Wolf avverte che potrebbero essere coinvolti altri software.
Per ridurre i rischi, gli esperti consigliano vivamente di scaricare sempre i programmi dai siti ufficiali, evitando i link trovati tramite motori di ricerca e digitando direttamente gli indirizzi web affidabili.
Via The Hacker News