image

Malafide advertenties voor WinSCP en PuTTY leiden tot ransomware

dinsdag 14 mei 2024, 11:50 door Redactie, 8 reacties

Aanvallers maken gebruik van malafide advertenties voor WinSCP en PuTTY om systemen met ransomware te infecteren, zo stelt securitybedrijf Rapid7. Volgens onderzoekers zijn met name medewerkers van it-teams, die naar legitieme versies van de software zoeken door de aanval getroffen. De advertenties wijzen naar nagemaakte versies van de officiële website of een eenvoudige downloadpagina.

Via deze pagina's wordt een zip-bestand aangeboden met een getrojaniseerde versie van WinSCP of PuTTY. Zodra gebruikers de software installeren wordt tevens malware geïnstalleerd. Via deze malware proberen de aanvallers vervolgens aanvullende malware op het systeem te installeren. Rapid7 zegt dat aanvallers eerst proberen om data te stelen en daarna ransomware uit te rollen. Gebruikers wordt aangeraden om de bron van hun downloads goed te controleren, alsmede of de hashes van het gedownloade bestand overeenkomen met die op de officiële website.

"Getroffen gebruikers zijn onevenredig vaak leden van it-teams, die vaker installatieprogramma's voor tools zoals PuTTY of WinSCP downloaden. Wanneer het account van een it-medewerker is gecompromitteerd, heeft de aanvaller toegang met verhoogde rechten, wat onderzoek bemoeilijkt, omdat ze hun acties met die van de beheerder kunnen laten samengaan. Dit onderstreept de noodzaak om voor het downloaden de bron van bestanden te verifiëren en de inhoud voor het uitvoeren ervan", aldus het securitybedrijf.

Reacties (8)
14-05-2024, 12:37 door johanw - Bijgewerkt: 14-05-2024, 12:38
Mederwerkers van IT teams die zonder adblocker browsen (anders dan om er na een verse installatie een te installeren) zitten op de verkeerde job.
14-05-2024, 15:40 door Anoniem
Advertenties? Wat zijn dat?
Die zie ik nooit.
14-05-2024, 15:46 door Anoniem
Door johanw: Mederwerkers van IT teams die zonder adblocker browsen (anders dan om er na een verse installatie een te installeren) zitten op de verkeerde job.

Je wilt niet weten hoeveel ITers vast zitten in een mentaliteit dat plug-ins installeren, een extra aanvalsvlak creert.
Ze verttrouwen blind op MS. (Edge, windows ,etc)

Zelf er aan denken om bv een eigen DNS op te zetten, die de bulk van "reclame"-netwerken uitfiltert is al een stap te ver voor ze.

Leuk toch, al die meuk waar ze hun gebruikers aan bloot stellen. Als de MS-installatie maar zo zuiver mogelijk is.
Maar wel waarschuwen dat de gebruikers niet op die reclame moeten klikken. :-)
15-05-2024, 01:01 door Anoniem
Stale news. Dit gebeurt al jaren.
15-05-2024, 08:04 door Anoniem
De officieel putty is te downloaden op een site die je ook niet echt verwacht dat legitiem is met een best vage url.
Dat maakt het niet handig.
15-05-2024, 10:44 door Anoniem
De advertenties wijzen naar nagemaakte versies van de officiële website of een eenvoudige downloadpagina.
Dat komt omdat windows appstore een fiasco met oude versies is. waardoor software altijd van buiten komt en software lifecycle management ontbreekt en ransomware toeslaat.
15-05-2024, 16:53 door Anoniem
Door Anoniem:
Door johanw: Mederwerkers van IT teams die zonder adblocker browsen (anders dan om er na een verse installatie een te installeren) zitten op de verkeerde job.

Je wilt niet weten hoeveel ITers vast zitten in een mentaliteit dat plug-ins installeren, een extra aanvalsvlak creert.
Ze verttrouwen blind op MS. (Edge, windows ,etc)

Of het kan/mag niet op de managed werkplek.

Zelf er aan denken om bv een eigen DNS op te zetten, die de bulk van "reclame"-netwerken uitfiltert is al een stap te ver voor ze.

Beste thuis knuppel - in welke werk omgeving installeer je "even" een eigen DNS , zelfs als IT medewerker ?
15-05-2024, 21:06 door Anoniem
Door Anoniem:
Door Anoniem:
Door johanw: Mederwerkers van IT teams die zonder adblocker browsen (anders dan om er na een verse installatie een te installeren) zitten op de verkeerde job.

Je wilt niet weten hoeveel ITers vast zitten in een mentaliteit dat plug-ins installeren, een extra aanvalsvlak creert.
Ze verttrouwen blind op MS. (Edge, windows ,etc)

Of het kan/mag niet op de managed werkplek.

Zelf er aan denken om bv een eigen DNS op te zetten, die de bulk van "reclame"-netwerken uitfiltert is al een stap te ver voor ze.

Beste thuis knuppel - in welke werk omgeving installeer je "even" een eigen DNS , zelfs als IT medewerker ?
Elke Linux (en Apple) engineer kan dat met DNS Bind. Bv via https://www.freeipa.org/page/DNS
Een MSCA snapt inderdaad helemaal niets van DNS. lmhosts file wat is dat?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.