Aanvallers maken gebruik van malafide advertenties voor WinSCP en PuTTY om systemen met ransomware te infecteren, zo stelt securitybedrijf Rapid7. Volgens onderzoekers zijn met name medewerkers van it-teams, die naar legitieme versies van de software zoeken door de aanval getroffen. De advertenties wijzen naar nagemaakte versies van de officiële website of een eenvoudige downloadpagina.
Via deze pagina's wordt een zip-bestand aangeboden met een getrojaniseerde versie van WinSCP of PuTTY. Zodra gebruikers de software installeren wordt tevens malware geïnstalleerd. Via deze malware proberen de aanvallers vervolgens aanvullende malware op het systeem te installeren. Rapid7 zegt dat aanvallers eerst proberen om data te stelen en daarna ransomware uit te rollen. Gebruikers wordt aangeraden om de bron van hun downloads goed te controleren, alsmede of de hashes van het gedownloade bestand overeenkomen met die op de officiële website.
"Getroffen gebruikers zijn onevenredig vaak leden van it-teams, die vaker installatieprogramma's voor tools zoals PuTTY of WinSCP downloaden. Wanneer het account van een it-medewerker is gecompromitteerd, heeft de aanvaller toegang met verhoogde rechten, wat onderzoek bemoeilijkt, omdat ze hun acties met die van de beheerder kunnen laten samengaan. Dit onderstreept de noodzaak om voor het downloaden de bron van bestanden te verifiëren en de inhoud voor het uitvoeren ervan", aldus het securitybedrijf.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.